Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

CISA warnt vor kritischer Sicherheitslücke in Apache OFBiz

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat jetzt Alarm geschlagen: Eine kritische Sicherheitslücke im Open-Source-ERP-System Apache OFBiz wird aktiv von Cyberkriminellen aktiv ausgenutzt. Die Schwachstelle, die nun in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen wurde, könnte Unternehmen weltweit gefährden.

THNBedrohungen
Lesezeit 1 Min.

Die Sicherheitslücke CVE-2024-38856 hat einen kritischen Schweregrad von 9,8 auf der CVSS-Skala. Sie erlaubt es einem nicht authentifizierten Angreifer, über eine fehlerhafte Autorisierung im Apache OFBiz-System in Verbindung mit einem speziell gestalteten Groovy-Skript, Code aus der Ferne auszuführen.

CISA erklärt, dass die Schwachstelle es Angreifern ermöglicht, unbefugt auf kritische Bereiche des Systems zuzugreifen und Remote-Code auszuführen. SonicWall wies darauf hin, dass diese Lücke als Umgehungslösung für eine andere Schwachstelle (CVE-2024-36104) dient, die ebenfalls Remote-Code-Ausführung ermöglicht.

„Ein Fehler in der Ansicht-Überschreibungs-Funktion öffnet wichtige Bereiche des Systems für Angreifer, die speziell gestaltete Anfragen nutzen können. Dadurch können sie Code aus der Ferne ausführen“, so Hasib Vhora von SonicWall.

Dieser Vorfall folgt auf eine ähnliche Warnung von CISA vor etwa drei Wochen über eine weitere Schwachstelle in Apache OFBiz (CVE-2024-32113), die für Angriffe durch das Mirai-Botnet ausgenutzt wurde.

Obwohl es derzeit keine Berichte über tatsächliche Angriffe mit CVE-2024-38856 gibt, sind bereits Proof-of-Concept-Exploits öffentlich verfügbar.

Die aktive Ausnutzung von zwei Schwachstellen in Apache OFBiz zeigt, dass Angreifer großes Interesse an öffentlich gemachten Sicherheitslücken haben und diese gezielt ausnutzen, um Systeme zu kompromittieren.

Organisationen wird geraten, auf die Version 18.12.15 zu aktualisieren, um sich vor diesen Bedrohungen zu schützen. Für Behörden der US-Bundesregierung gilt eine Frist bis zum 17. September 2024, um die erforderlichen Updates einzuspielen.