Cybersecurity-onderzoekers hebben een proof-of-concept (PoC)-code ontwikkeld die gebruik maakt van een onlangs onthulde kritieke fout in het Apache OfBiz open-source Enterprise Resource Planning (ERP)-systeem om een geheugenresidente payload uit te voeren.
De kwetsbaarheid in kwestie is CVE-2023-51467 (CVSS-score: 9,8), een bypass voor een andere ernstige tekortkoming in dezelfde software (CVE-2023-49070, CVSS-score: 9,8) die kan worden ingezet om authenticatie te omzeilen en op afstand willekeurige acties uit te voeren code.
Hoewel het probleem is opgelost in Apache OFbiz versie 18.12.11 die vorige maand werd uitgebracht, zijn er bedreigingsactoren waargenomen die proberen de fout te misbruiken en zich op kwetsbare instanties richten.
De nieuwste bevindingen van VulnCheck laten zien dat CVE-2023-51467 kan worden misbruikt om een payload rechtstreeks vanuit het geheugen uit te voeren, waardoor er weinig tot geen sporen van kwaadaardige activiteit achterblijven.
Beveiligingsfouten die zijn onthuld in Apache OFBiz (bijv. CVE-2020-9496) zijn in het verleden uitgebuit door bedreigingsactoren, inclusief door bedreigingsactoren geassocieerd met het Sysrv-botnet. Een andere drie jaar oude bug in de software (CVE-2021-29200) is getuige geweest van misbruikpogingen van 29 unieke IP-adressen in de afgelopen 30 dagen, volgens gegevens van GreyNoise.
Bovendien was Apache OFBiz ook een van de eerste producten met een publieke exploit voor Log4Shell (CVE-2021-44228), wat illustreert dat het nog steeds interessant is voor zowel verdedigers als aanvallers.
CVE-2023-51467 vormt daarop geen uitzondering, waarbij details over een eindpunt voor het uitvoeren van code op afstand (“/webtools/control/ProgramExport”) en PoC voor het uitvoeren van opdrachten slechts enkele dagen na de openbaarmaking verschijnen.
Hoewel beveiligingsrails (dat wil zeggen de Groovy-sandbox) zo zijn geplaatst dat ze alle pogingen blokkeren om willekeurige webshells te uploaden of Java-code via het eindpunt uit te voeren, betekent de onvolledige aard van de sandbox dat een aanvaller curl-opdrachten kan uitvoeren en een bash-reverse kan verkrijgen. shell op Linux-systemen.
“Voor een geavanceerde aanvaller zijn deze ladingen echter niet ideaal”, zegt Jacob Baines, Chief Technology Officer van VulnCheck. “Ze raken de schijf aan en vertrouwen op Linux-specifiek gedrag.”
De op Go gebaseerde exploit bedacht door VulnCheck is een platformonafhankelijke oplossing die zowel op Windows als Linux werkt en de weigeringslijst omzeilt door gebruik te maken van groovy.util.Eval-functies om een in-memory Nashorn reverse shell als payload te lanceren .
“OFBiz is niet erg populair, maar het is in het verleden uitgebuit. Er is veel hype rond CVE-2023-51467, maar er is geen publieke bewapende lading, waardoor de vraag rijst of het zelfs maar mogelijk was,” zei Baines. “We zijn tot de conclusie gekomen dat het niet alleen mogelijk is, maar dat we ook willekeurige uitvoering van de geheugencode kunnen bereiken.”
