Grave Falla su Apache OFBiz

Proto: N020321.

Con la presente CERT-Yoroi desidera informarla riguardo una grave vulnerabilità che affligge Apache OFBiz, sistema open-source per la gestione ERP (Enterprise Resource Planning), alla base anche della piattaforma Atlassian JIRA. La falla è nota con l’identificativo CVE-2021-26295 

La vulnerabilità è causata da lacune nella validazione degli input dell’utente durante le procedure di deserializzazione all’interno del componente “SafeObjectInputStream”. Tale condizione rende possibile ad un utente di rete privo di autenticazione di eseguire codice arbitrario sul sistema bersaglio, compromettendone la sicurezza. 

Il Manutentore ha confermato la vulnerabilità attraverso il bollettino OFBIZ-12167 dove ha reso disponibili le patch di sicurezza per il componente vulnerabile, nel quale risultano afflitte tutte le versioni di OFBiz inferiori alla 17.12.06. 

Data la criticità della vulnerabilità, la natura dei sistemi afflitti, i potenziali dati in esso trattati e la disponibilità di dettagli tecnici a riguardo, CERT-Yoroi consiglia caldamente di provvedere alla pianificazione dell’installazione delle patch messe a disposizione del Vendor.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index