Red Hat JBoss RichFaces Framework Expression Language Injection Vulnerability — Red Hat JBoss RichFaces Framework contains an expression language injection vulnerability via the UserResource resource. A remote, unauthenticated attacker could exploit this vulnerability to execute malicious code using a chain of Java serialized objects via org.ajax4jsf.resource.UserResource$UriData.
CVE-2018-14667 is a critical Expression Language (EL) injection vulnerability in Red Hat JBoss RichFaces Framework that allows remote, unauthenticated attackers to execute arbitrary code via the UserResource resource. The vulnerability exploits Java deserialization through org.ajax4jsf.resource.UserResource$UriData, enabling full remote code execution (RCE) without authentication. With a CVSS score of 9.0 and publicly available exploits, this vulnerability poses an immediate and severe threat to any organization running JBoss RichFaces. This vulnerability has been actively exploited in the wild and is listed in CISA's Known Exploited Vulnerabilities catalog.
Immediate Actions:
1. Identify all JBoss RichFaces instances in your environment using asset discovery tools
2. Immediately restrict external access to JBoss RichFaces applications via WAF rules blocking requests to /a4j/s/3_3_3.Final/* and UserResource endpoints
3. Apply network segmentation to isolate affected servers
Patching Guidance:
4. Upgrade RichFaces to a patched version or migrate away from RichFaces entirely (RichFaces reached end-of-life in June 2016)
5. Apply Red Hat security patches if using supported JBoss EAP versions
6. If migration is not immediately possible, remove or disable the RichFaces component
Compensating Controls:
7. Deploy WAF rules to detect and block EL injection patterns and Java deserialization payloads
8. Implement egress filtering to prevent reverse shell connections
9. Enable Java Security Manager with restrictive policies
Detection Rules:
10. Monitor for suspicious POST requests containing serialized Java objects targeting /a4j/ paths
11. Create SIEM rules for unusual process spawning from JBoss/Java processes
12. Deploy YARA/Snort rules for known RichFaces exploitation patterns
13. Monitor for indicators: base64-encoded payloads in URL parameters to UserResource endpoints
الإجراءات الفورية:
1. تحديد جميع مثيلات JBoss RichFaces في بيئتك باستخدام أدوات اكتشاف الأصول
2. تقييد الوصول الخارجي فوراً لتطبيقات JBoss RichFaces عبر قواعد WAF لحظر الطلبات إلى /a4j/s/3_3_3.Final/* ونقاط نهاية UserResource
3. تطبيق تجزئة الشبكة لعزل الخوادم المتأثرة
إرشادات التصحيح:
4. ترقية RichFaces إلى إصدار مصحح أو الانتقال بعيداً عن RichFaces بالكامل (انتهى دعم RichFaces في يونيو 2016)
5. تطبيق تصحيحات أمان Red Hat إذا كنت تستخدم إصدارات JBoss EAP المدعومة
6. إذا لم يكن الانتقال ممكناً فوراً، قم بإزالة أو تعطيل مكون RichFaces
الضوابط التعويضية:
7. نشر قواعد WAF للكشف عن أنماط حقن EL وحمولات إلغاء تسلسل Java وحظرها
8. تنفيذ تصفية حركة المرور الصادرة لمنع اتصالات الصدفة العكسية
9. تفعيل Java Security Manager مع سياسات مقيدة
قواعد الكشف:
10. مراقبة طلبات POST المشبوهة التي تحتوي على كائنات Java متسلسلة تستهدف مسارات /a4j/
11. إنشاء قواعد SIEM لرصد إنشاء عمليات غير عادية من عمليات JBoss/Java
12. نشر قواعد YARA/Snort لأنماط استغلال RichFaces المعروفة
13. مراقبة المؤشرات: حمولات مشفرة بـ base64 في معلمات URL لنقاط نهاية UserResource