Descripción general El 7 de septiembre de 2024, Cyble Global Sensor Intelligence (CGSI) identificó la explotación activa de CVE-2024-32113, una vulnerabilidad de cruce de ruta crítica en el sistema de planificación de recursos empresariales (ERP) de código abierto Apache OFBiz. Esta falla se abordó inicialmente el 12 de abril de 2024, con un parche formal publicado el 8 de mayo de 2024. CVE-2024-32113 permite a los actores de amenazas (TA) ejecutar comandos arbitrarios mediante el envío de solicitudes especialmente diseñadas, lo que les permite obtener acceso no autorizado y ejecutar comandos arbitrarios. El 4 de septiembre de 2024, la identificación de CVE-2024-45195 reavivó las preocupaciones en torno a Apache OFBiz al revelar una omisión de varias vulnerabilidades abordadas anteriormente, en particular CVE-2024-32113. Este desarrollo ha intensificado la explotación de CVE-2024-32113, ya que los atacantes aprovechan el resurgimiento de la falla para comprometer sistemas vulnerables y desplegar cargas útiles maliciosas. Los investigadores también observaron la explotación activa de esta vulnerabilidad para desplegar la botnet Mirai en los sistemas comprometidos. Hallazgos de Cyble Global Sensor Intelligence (CGSI) Cyble Global Sensor Intelligence (CGSI) detectó intentos de explotación de CVE-2024-32113 el 4 de septiembre de 2024. En los casos registrados por CGSI, como se ilustra en la figura siguiente, un atacante intentó acceder al punto final /webtools/control/forgotPassword;/ProgramExport a través de una solicitud POST. Figura 1: captura de pantalla de los intentos de explotación observados a través de la red CGSI Detalles de la vulnerabilidad Ejecución remota de código CVE-2024-32113 CVSSv3.1 9.1 Gravedad Crítica Versiones de software vulnerable Versiones de Apache OFBi anteriores a 18.12.13 Descripción Las versiones afectadas del sistema Apache OFBiz contienen una vulnerabilidad de Path Traversal debido a una limitación incorrecta de los nombres de ruta a un directorio restringido. Descripción general del exploit La vulnerabilidad surge de un estado fragmentado entre el controlador actual de la aplicación y el mapa de vista debido al uso de diferentes métodos de análisis para patrones de URI entrantes. Cuando los atacantes envían solicitudes de URI inesperadas, la lógica para recuperar el mapa de vista autenticado puede volverse confusa, lo que otorga al atacante acceso no autorizado. La explotación ocurre cuando un atacante envía una solicitud diseñada al punto final /webtools/control/forgotPassword;/ProgramExport, incorporando una carga útil que ejecuta scripts de Groovy. Esto permite que se ejecuten comandos arbitrarios en el servidor. Por ejemplo, se podría usar una carga útil para ejecutar el comando id, que devuelve los identificadores de usuario y grupo, revelando así información confidencial sobre el entorno del servidor. Figura 2: Ejecución de comandos con mitigación de carga útil CVE-2024-32113 afecta a las versiones de Apache OFBiz anteriores a 18.12.13. Sin embargo, la versión 18.12.13 sigue siendo vulnerable a CVE-2024-45195. Por lo tanto, se recomienda a los usuarios que actualicen a la última versión, 18.12.16, que soluciona ambas vulnerabilidades. Recomendaciones A continuación se presentan recomendaciones para defenderse contra la explotación de CVE-2024-32113 y vulnerabilidades relacionadas: Actualice Apache OFBiz a la versión 18.12.16 o la última versión disponible. Esta versión soluciona tanto CVE-2024-32113 como CVE-2024-45195. Configure e implemente un WAF para filtrar y monitorear las solicitudes HTTP, bloqueando los intentos que explotan el cruce de rutas y otros vectores de ataque conocidos. Aplique el principio del mínimo privilegio para limitar el impacto potencial de cualquier explotación exitosa. Revise regularmente los registros para detectar actividades inusuales, como intentos de acceso no autorizado o solicitudes sospechosas a puntos finales vulnerables. Indicadores de compromiso Indicadores Tipo de indicador Descripción 185[.]190[.]24[.]Referencias de IP maliciosas relacionadas con 111IPv4