28 de agosto de 2024Ravie LakshmananSeguridad de software / Vulnerabilidad La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó el martes una falla de seguridad crítica que afecta al sistema de planificación de recursos empresariales (ERP) de código abierto Apache OFBiz a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza. La vulnerabilidad, conocida como CVE-2024-38856, tiene una puntuación CVSS de 9,8, lo que indica una gravedad crítica. «Apache OFBiz contiene una vulnerabilidad de autorización incorrecta que podría permitir la ejecución remota de código a través de una carga útil de Groovy en el contexto del proceso de usuario de OFBiz por parte de un atacante no autenticado», dijo CISA. Los detalles de la vulnerabilidad salieron a la luz por primera vez a principios de este mes después de que SonicWall la describiera como una omisión de parche para otra falla, CVE-2024-36104, que permite la ejecución remota de código a través de solicitudes especialmente diseñadas. «Una falla en la función de vista de anulación expone los puntos finales críticos a actores de amenazas no autenticados mediante una solicitud diseñada, allanando el camino para la ejecución remota de código», dijo el investigador de SonicWall, Hasib Vhora. El desarrollo se produjo casi tres semanas después de que CISA colocara una tercera falla que afectaba a Apache OFBiz (CVE-2024-32113) en el catálogo KEV, luego de informes de que se había abusado de ella para implementar la botnet Mirai. Si bien actualmente no hay informes públicos sobre cómo se está utilizando CVE-2024-38856 como arma en la naturaleza, se han puesto a disposición del público exploits de prueba de concepto (PoC). La explotación activa de dos fallas de Apache OFBiz es una indicación de que los atacantes están mostrando un interés significativo y una tendencia a abalanzarse sobre las fallas divulgadas públicamente para violar de manera oportunista las instancias susceptibles con fines nefastos. Se recomienda a las organizaciones que actualicen a la versión 18.12.15 para mitigar la amenaza. Las agencias del Poder Ejecutivo Civil Federal (FCEB) han recibido el mandato de aplicar las actualizaciones necesarias antes del 17 de septiembre de 2024. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.