Apache OFBiz behebt neuen kritischen Fehler

monticello – shutterstock.com

Eine neue Sicherheitslücke in Apache OFBiz, einem Java-basierten ERP-Framework für Geschäftsprozesse wie Buchhaltung und E-Commerce, ermöglicht es Angreifern, zuvor für drei kritische RCE-Schwachstellen eingesetzte Patches zu umgehen.

Um zu verhindern, dass die alten Patches selbst ausgenutzt werden können, haben die Entwickler kürzlich einen neuen Patch veröffentlicht, der diese kritische Schwachstelle behebt. Sie gehen zusätzlich davon aus, dass das Risiko eines tatsächlichen Angriffs weiterhin hoch ist. Daher empfehlen sie eine schnelle Installation des Patches 18.12.16, welcher auch einen Fix für ein Server-seitiges Request Forgery (SSRF) Problem CVE-2024-45507 enthält.

Entdeckung durch Externe

Entdeckt wurde die Sicherheitslücke mit der Bezeichnung CVE-2024-45195 von Ryan Emmons, einem Forscher der US-amerikanischen IT-Sicherheitsplattform Rapid7, entdeckt. Er fand heraus, dass Angreifer ohne gültige Anmeldeinformationen fehlende Berechtigungsprüfungen in der Webanwendung ausnutzen können.

Hiermit sind sie dann in der Lage, beliebigen Code auf dem Server ausführen. Erleichtert wird dies dadurch, indem die Angreifer die früheren Patches für die andere Schwachstellen umgehen.

Doch wie konnte es erneut zu CVE-Problemen bei Apache OFBiz kommen?

Fragmentierung des Controller-View-Map-Status

Die Schwachstelle CVE-2024-45195 und drei frühere Sicherheitslücken in Apache OFBiz resultieren aus unzureichenden Autorisierungsprüfungen bei View-Maps. Dies liegt daran, dass der Status der aktuellen Controller- und View-Map der Anwendung uneinheitlich ist, weil unterschiedliche Methoden zum Parsen von URIs verwendet werden.

Dies ermöglicht es Angreifern, URIs zu erstellen, die eine Controller-Autorisierung umgehen und auf View-Maps zugreifen, die nur für Administratoren bestimmt sind. Forscher Ryan Emmons beschreibt dieses Problem als “Controller-View-Map-Zustandsfragmentierung”.

Hierbei fragmentieren URI-Muster den Status und ermöglichen es Angreifern, über nicht authentifizierte Controller auf administrative Funktionen, wie SQL-Abfragen oder das Ausführen von Code, zuzugreifen.

Immer mehr Fehler werden gefunden

Bereits im Mai 2024 wurde eine weitere Schwachstelle namens CVE-2024-32113 entdeckt. Sie betraf eine View-Map namens ProgramExport, welche Groovy-Skripte ausführen konnte. Die Apache OFBiz-Entwickler versuchten dies zu unterbinden, indem sie durch einen Blacklist-Ansatz bestimmte URI-Muster blockierten. Forscher umgingen dies jedoch durch Zeichenkodierung, was zur Entdeckung von CVE-2024-36104 im Juni führte.

Im August zeigten dann Forscher von SonicWall, einem US-amerikanischem IT-Infrastruktur-Unternehmen, dass Sonderzeichen gar nicht nötig sind, um die Zustandsfragmentierung auszulösen. Dies führte zur Entdeckung von CVE-2024-38856.

Die Karte musste repariert werden

Emmons entdeckte zudem die View-Map XmlDsDump, die es ermöglichte, Datenbankabfragen durchzuführen und eine Web-Shell zu erstellen. Mit dieser Map lassen sich Remote-Code auszuführen. Die OFBiz-Entwickler reagierten daraufhin mit einem umfassenderen Fix.

Dieser verbessert die Autorisierungsprüfung für View-Maps und führt zusätzliche Berechtigungsprüfungen ein. Die neuen Standardeinstellungen für Request-Maps setzen Parameter wie “auth” auf “true”. Benutzerdefinierte Anwendungen “auth=false” für öffentliche Ansichten müssen allerdings separat festgelegt werden.

Patch zur Vermeidung einer Ausnutzung

Damit ist zwar dieses Problem vorerst ausgestanden, doch werden in Zukunft sicherlich neue CVEs auftreten, da Apache OFBiz-Schwachstellen für Angreifer attraktiv sind und häufig bereits kurz nach ihrer Veröffentlichung ausgenutzt wurden. So listet die US-amerikanische Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) derzeit CVE-2024-32113 und CVE-2024-38856 in ihrem KEV-Katalog (Known Exploited Vulnerabilities) auf.

Zusätzlich gibt es Hinweise von Dritten darauf, dass auch andere Schwachstellen ins Visier von Angreifern geraten sind. Ein Beispiel hierfür ist CVE-2023-51467, eine kritische OFBiz-Schwachstelle, die im Dezember 2023 gepatcht wurde. Mithilfe von Apache OFBiz-Version 18.12.16 lassen sich diese Schwachstellen allerdings patchen. (tf)