7 сентября 2024 года компания Cyble Global Sensor Intelligence (CGSI) сообщила об активной эксплуатации критической уязвимости CVE-2024-32113 в системе планирования ресурсов предприятия (ERP) Apache OFBiz с открытым исходным кодом. Уязвимость была первоначально устранена, но ее эксплуатация возобновилась вследствие обхода других уязвимостей. Злоумышленники используют эту уязвимость для компрометации систем и развертывания вредоносной полезной нагрузки, а также для развертывания ботнета Mirai.
Исследователи CGSI обнаружили попытки эксплуатации CVE-2024-32113, осуществляемые путем отправки специально созданных запросов к определенной конечной точке системы OFBiz. Уязвимость позволяет злоумышленникам выполнять произвольные команды и получать несанкционированный доступ. Уязвимость заключается в неправильных ограничениях путей к определенному каталогу, что приводит к фрагментации состояния между контроллером приложения и картой представлений, и, следовательно, к возможности несанкционированного доступа.
Для эксплуатации уязвимости злоумышленники отправляют поддельный запрос с полезной нагрузкой на определенную конечную точку, внедряя скрипты Groovy, которые позволяют выполнить произвольные команды на сервере. Это может использоваться, например, для получения идентификаторов пользователей и групп, раскрывающих конфиденциальную информацию об окружении сервера.
Indicators of Compromise
IPv4
- 185.190.24.111