Apache OFBiz ERP 소프트웨어에서 치명적인 RCE 취약점 발견

 

 

Critical RCE Vulnerability Found in Apache OFBiz ERP Software—Patch Now

 

Apache Software Foundation이 지난 금요일 Apache OFBiz에 존재하는 심각도 높은 취약점을 수정했다고 밝혔습니다. 이 취약점은 인증되지 않은 공격자가 원격으로 오픈소스 ERP 시스템을 제어할 수 있게 합니다.

 

CVE-2021-26295로 등록된 이 취약점은 17.12.06 이전의 모든 소프트웨어 버전에 영향을 미치며 공격 벡터로 “안전하지 않은 역직렬화”를 사용하여 권한이 없는 원격 공격자가 서버에서 직접 임의 코드를 실행할 수 있게 합니다.

 

OFBiz는 기업의 프로세스를 자동화하는 자바 기반 웹 프레임워크로 회계, 고객 관계 관리, 제조 운영 관리, 주문 관리, 공급망 이행 및 창고 관리 시스템 등 다양한 기능을 제공합니다.

 

악성 공격자는 임의 코드를 주입하기 위해 이 취약점을 악용하여 직렬화된 데이터를 변조할 수 있게 됩니다. 이 데이터가 역직렬화 되면 원격 코드 실행으로 이어질 수 있습니다.

 

OFBiz의 개발자인 Jacques Le Roux는 아래와 같이 언급했습니다.

 

“인증되지 않은 공격자는 이 취약점을 악용하여 Apache OFBix를 성공적으로 제어할 수 있게 됩니다.”

 

안전하지 않은 역직렬화는 데이터의 무결성 및 기타 보안 이슈의 원인이 되어왔습니다.

 

OWASP(Open Web Application Security Project)는 “잘못 구성된 데이터는 역직렬화될 경우 애플리케이션 로직, 서비스 거부, 임의 코드 실행에 악용될 수 있다”고 밝혔습니다.

 

이 취약점과 관련된 위험을 완화하기 위해서는 Apache OFBiz를 최신 버전 (17.12.06)으로 업그레이드할 것을 권장합니다.

 

 

 

 

출처:

https://thehackernews.com/2021/03/critical-rce-vulnerability-found-in.html

https://seclists.org/oss-sec/2021/q1/255

https://owasp.org/www-community/vulnerabilities/Deserialization_of_untrusted_data