{"id":633,"date":"2024-10-11T06:30:54","date_gmt":"2024-10-11T06:30:54","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=633"},"modified":"2024-10-11T06:30:54","modified_gmt":"2024-10-11T06:30:54","slug":"apache-ofbiz-behebt-neuen-kritischen-fehler","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=633","title":{"rendered":"Apache OFBiz behebt neuen kritischen Fehler"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Apache geht auf die Jagd nach eigenen Fehler und macht fette Beute.\n

monticello \u2013 shutterstock.com<\/p>\n<\/div>\n

Eine neue Sicherheitsl\u00fccke in Apache OFBiz, einem Java-basierten\u00a0ERP<\/a>-Framework f\u00fcr Gesch\u00e4ftsprozesse wie Buchhaltung und E-Commerce, erm\u00f6glicht es Angreifern, zuvor f\u00fcr drei kritische RCE-Schwachstellen eingesetzte Patches zu umgehen.<\/p>\n

Um zu verhindern, dass die alten Patches selbst ausgenutzt werden k\u00f6nnen, haben die Entwickler k\u00fcrzlich einen neuen Patch ver\u00f6ffentlicht, der diese kritische Schwachstelle behebt. Sie gehen zus\u00e4tzlich davon aus, dass das Risiko eines tats\u00e4chlichen Angriffs weiterhin hoch ist. Daher empfehlen sie eine schnelle Installation des Patches\u00a018.12.16<\/a>, welcher auch einen Fix f\u00fcr ein Server-seitiges Request Forgery (SSRF) Problem CVE-2024-45507 enth\u00e4lt.<\/p>\n

Entdeckung durch Externe<\/h3>\n

Entdeckt wurde die Sicherheitsl\u00fccke mit der Bezeichnung\u00a0CVE<\/a>-2024-45195 von Ryan Emmons, einem Forscher der US-amerikanischen IT-Sicherheitsplattform Rapid7, entdeckt. Er\u00a0fand heraus<\/a>, dass Angreifer ohne g\u00fcltige Anmeldeinformationen fehlende Berechtigungspr\u00fcfungen in der Webanwendung ausnutzen k\u00f6nnen.<\/p>\n

Hiermit sind sie dann in der Lage, beliebigen Code auf dem Server ausf\u00fchren. Erleichtert wird dies dadurch, indem die Angreifer die fr\u00fcheren Patches f\u00fcr die andere Schwachstellen umgehen.<\/p>\n

Doch wie konnte es erneut zu\u00a0CVE-Problemen<\/a>\u00a0bei Apache OFBiz kommen?<\/p>\n

Fragmentierung des Controller-View-Map-Status<\/h3>\n

Die Schwachstelle CVE-2024-45195 und drei fr\u00fchere Sicherheitsl\u00fccken in Apache OFBiz resultieren aus unzureichenden Autorisierungspr\u00fcfungen bei View-Maps. Dies liegt daran, dass der Status der aktuellen Controller- und View-Map der Anwendung uneinheitlich ist, weil unterschiedliche Methoden zum Parsen von URIs verwendet werden.<\/p>\n

Dies erm\u00f6glicht es Angreifern,\u00a0URIs<\/a>\u00a0zu erstellen, die eine Controller-Autorisierung umgehen und auf View-Maps zugreifen, die nur f\u00fcr Administratoren bestimmt sind. Forscher Ryan Emmons beschreibt dieses Problem als \u201cController-View-Map-Zustandsfragmentierung\u201d.<\/p>\n

Hierbei fragmentieren URI-Muster den Status und erm\u00f6glichen es Angreifern, \u00fcber nicht authentifizierte Controller auf administrative Funktionen, wie\u00a0SQL<\/a>-Abfragen oder das Ausf\u00fchren von Code, zuzugreifen.<\/p>\n

Immer mehr Fehler werden gefunden<\/h3>\n

Bereits im Mai 2024 wurde eine weitere Schwachstelle namens CVE-2024-32113 entdeckt. Sie betraf eine View-Map namens\u00a0ProgramExport<\/em>, welche Groovy-Skripte ausf\u00fchren konnte. Die Apache OFBiz-Entwickler versuchten dies zu unterbinden, indem sie durch einen Blacklist-Ansatz bestimmte URI-Muster blockierten. Forscher umgingen dies jedoch durch Zeichenkodierung, was zur Entdeckung von CVE-2024-36104 im Juni f\u00fchrte.<\/p>\n

Im August zeigten dann Forscher von\u00a0SonicWall<\/a>, einem US-amerikanischem IT-Infrastruktur-Unternehmen, dass Sonderzeichen gar nicht n\u00f6tig sind, um die Zustandsfragmentierung auszul\u00f6sen. Dies f\u00fchrte zur Entdeckung von CVE-2024-38856.<\/p>\n

Die Karte musste repariert werden<\/h3>\n

Emmons entdeckte zudem die View-Map\u00a0XmlDsDump<\/em>, die es erm\u00f6glichte, Datenbankabfragen durchzuf\u00fchren und eine Web-Shell zu erstellen. Mit dieser Map lassen sich Remote-Code auszuf\u00fchren. Die OFBiz-Entwickler reagierten daraufhin mit einem umfassenderen Fix.<\/p>\n

Dieser verbessert die Autorisierungspr\u00fcfung f\u00fcr View-Maps und f\u00fchrt zus\u00e4tzliche Berechtigungspr\u00fcfungen ein. Die neuen Standardeinstellungen f\u00fcr Request-Maps setzen Parameter wie \u201cauth\u201d auf \u201ctrue\u201d. Benutzerdefinierte Anwendungen \u201cauth=false\u201d f\u00fcr \u00f6ffentliche Ansichten m\u00fcssen allerdings separat festgelegt werden.<\/p>\n

Patch zur Vermeidung einer Ausnutzung<\/h3>\n

Damit ist zwar dieses Problem vorerst ausgestanden, doch werden in Zukunft sicherlich neue CVEs auftreten, da Apache OFBiz-Schwachstellen f\u00fcr Angreifer attraktiv sind und h\u00e4ufig bereits kurz nach ihrer Ver\u00f6ffentlichung ausgenutzt wurden. So listet die US-amerikanische Agentur f\u00fcr Cybersicherheit und Infrastruktursicherheit (CISA) derzeit CVE-2024-32113 und CVE-2024-38856 in ihrem\u00a0KEV-Katalog<\/a>\u00a0(Known Exploited Vulnerabilities) auf.<\/p>\n

Zus\u00e4tzlich gibt es Hinweise von Dritten darauf, dass auch andere Schwachstellen ins Visier von Angreifern geraten sind. Ein Beispiel hierf\u00fcr ist\u00a0CVE-2023-51467<\/a>, eine kritische OFBiz-Schwachstelle, die im Dezember 2023 gepatcht wurde. Mithilfe von Apache OFBiz-Version 18.12.16 lassen sich diese Schwachstellen allerdings patchen. (tf)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Apache geht auf die Jagd nach eigenen Fehler und macht fette Beute. monticello \u2013 shutterstock.com Eine neue Sicherheitsl\u00fccke in Apache OFBiz, einem Java-basierten\u00a0ERP-Framework f\u00fcr Gesch\u00e4ftsprozesse wie Buchhaltung und E-Commerce, erm\u00f6glicht es Angreifern, zuvor f\u00fcr drei kritische RCE-Schwachstellen eingesetzte Patches zu umgehen. Um zu verhindern, dass die alten Patches selbst ausgenutzt werden k\u00f6nnen, haben die Entwickler […]<\/p>\n","protected":false},"author":0,"featured_media":634,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-633","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/633"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=633"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/633\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/634"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=633"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=633"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=633"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}