Les chercheurs en cybersécurité ont développé un code de preuve de concept (PoC) qui exploite une faille critique récemment révélée dans le système open source Enterprise Resource Planning (ERP) Apache OfBiz pour exécuter une charge utile résidant en mémoire.
La vulnérabilité en question est CVE-2023-51467 (score CVSS : 9,8), un contournement pour une autre lacune grave du même logiciel (CVE-2023-49070score CVSS : 9,8) qui pourrait être utilisée pour contourner l’authentification et exécuter du code arbitraire à distance.
Alors qu’il a été réparé dans Apache OFbiz version 18.12.11 publié le mois dernier, des acteurs malveillants ont été observés tentant d’exploiter la faille, ciblant les instances vulnérables.
Les dernières découvertes de VulnCheck montrent que CVE-2023-51467 peut être exploité pour exécuter une charge utile directement depuis la mémoire, ne laissant que peu ou pas de traces d’activité malveillante.
Failles de sécurité divulguées dans Apache OFBiz (par exemple, CVE-2020-9496) ont été exploité par des acteurs malveillants dans le passé, y compris par des acteurs malveillants associés au botnet Sysrv. Encore un bug vieux de trois ans dans le logiciel (CVE-2021-29200) a été témoin tentatives d’exploitation à partir de 29 adresses IP uniques au cours des 30 derniers jours, selon les données de GreyNoise.
De plus, Apache OFBiz a également été l’un des premiers produits à disposer d’un exploit public pour Log4Shell (CVE-2021-44228), illustrant qu’il continue d’intéresser à la fois les défenseurs et les attaquants.
CVE-2023-51467 ne fait pas exception, avec des détails sur un point de terminaison d’exécution de code à distance (« /webtools/control/ProgramExport ») ainsi que PoC pour l’exécution des commandes émergeant quelques jours seulement après la divulgation publique.
Bien que les garde-corps de sécurité (c.-à-d. Un bac à sable génial) ont été érigés de telle sorte qu’ils bloquer toute tentative Pour télécharger des shells Web arbitraires ou exécuter du code Java via le point de terminaison, la nature incomplète du bac à sable signifie qu’un attaquant pourrait exécuter des commandes curl et obtenir un shell inversé bash sur les systèmes Linux.
« Pour un attaquant avancé, cependant, ces charges utiles ne sont pas idéales », a déclaré Jacob Baines, directeur de la technologie de VulnCheck. « Ils touchent le disque et s’appuient sur un comportement spécifique à Linux. »
Le Exploit basé sur Go conçue par VulnCheck est une solution multiplateforme qui fonctionne à la fois sous Windows et Linux et qui contourne la liste noire en tirant parti de Fonctions groovy.util.Eval pour lancer un shell inversé Nashorn en mémoire comme charge utile.
« OFBiz n’est pas très populaire, mais il a été exploité dans le passé. Il y a beaucoup de battage médiatique autour de CVE-2023-51467, mais aucune charge utile publique militarisée, ce qui remet en question si cela était même possible », a déclaré Baines. « Nous avons conclu que non seulement c’est possible, mais que nous pouvons réaliser une exécution arbitraire de code en mémoire. »