Siber güvenlik araştırmacıları gelişmiş Bellekte yerleşik bir veriyi yürütmek için Apache OfBiz açık kaynaklı Kurumsal Kaynak Planlama (ERP) sisteminde yakın zamanda açıklanan kritik bir kusurdan yararlanan bir kavram kanıtlama (PoC) kodu.
Söz konusu güvenlik açığı CVE-2023-51467 (CVSS puanı: 9,8), aynı yazılımdaki başka bir ciddi eksikliğin atlanması (CVE-2023-49070CVSS puanı: 9,8) kimlik doğrulamayı atlamak ve uzaktan rastgele kod yürütmek için silah haline getirilebilir.
Sabitlenmişken Apache OFbiz sürüm 18.12.11 Geçen ay yayınlanan tehdit aktörlerinin, zayıf örnekleri hedef alarak bu kusurdan yararlanmaya çalıştıkları gözlemlendi.
VulnCheck’in en son bulguları, CVE-2023-51467’nin, doğrudan bellekten bir veri yükünü yürütmek için kullanılabileceğini ve kötü amaçlı faaliyetlere dair çok az iz bıraktığını veya hiç bırakmadığını gösteriyor.
Apache OFBiz’de açıklanan güvenlik kusurları (ör. CVE-2020-9496) olmuştur sömürülen Sysrv botnet’iyle ilişkili tehdit aktörleri de dahil olmak üzere geçmişteki tehdit aktörleri tarafından. Yazılımda üç yıllık bir hata daha (CVE-2021-29200) sahip olmak şahit oldum GreyNoise verilerine göre son 30 gün içinde 29 benzersiz IP adresinden yararlanma girişiminde bulunuldu.
Dahası, Apache OFBiz aynı zamanda şu özelliklere sahip ilk ürünlerden biriydi: kamu istismarı Log4Shell (CVE-2021-44228) için bu, hem savunucuların hem de saldırganların ilgisini çekmeye devam ettiğini gösteriyor.
CVE-2023-51467 bir istisna değildir ve bir uzaktan kod yürütme uç noktası (“/webtools/control/ProgramExport”) ve ayrıca Komut yürütme için PoC kamuya açıklanmasından sadece birkaç gün sonra ortaya çıkıyor.
Güvenlik korkulukları (örn. Harika sanal alan) öyle bir şekilde inşa edilmişlerdir ki herhangi bir girişimi engelle Uç nokta aracılığıyla rastgele web kabukları yüklemek veya Java kodunu çalıştırmak için, sanal alanın tamamlanmamış yapısı, bir saldırganın Linux sistemlerinde curl komutlarını çalıştırabileceği ve bir bash ters kabuk elde edebileceği anlamına gelir.
VulnCheck’in Baş Teknoloji Sorumlusu Jacob Baines, “Gelişmiş bir saldırgan için bu yükler ideal değil” dedi. “Diske dokunuyorlar ve Linux’a özgü davranışlara güveniyorlar.”
Go tabanlı istismar VulnCheck tarafından tasarlanan, hem Windows hem de Linux’ta çalışan ve aynı zamanda aşağıdaki avantajlardan yararlanarak reddedilenler listesinin etrafından dolaşan platformlar arası bir çözümdür: groovy.util.Eval işlevleri yük olarak bellek içi Nashorn ters kabuğunu başlatmak için.
Baines, “OFBiz yaygın olarak popüler değil, ancak geçmişte istismar edildi. CVE-2023-51467 hakkında oldukça fazla abartılı reklam var, ancak kamuya açık silahlandırılmış yük yok, bu da bunun mümkün olup olmadığı konusunda şüphe uyandırdı” dedi. “Bunun sadece mümkün olduğu değil, aynı zamanda bellek kodunun yürütülmesinde keyfi sonuçlar elde edebileceğimiz sonucuna vardık.”