Siber güvenlik araştırmacıları, bellekte yerleşik bir veri yükünü yürütmek için Apache OfBiz açık kaynaklı Kurumsal Kaynak Planlama (ERP) sisteminde yakın zamanda açıklanan kritik bir kusurdan yararlanan bir kavram kanıtlama (PoC) kodu geliştirdi.
Söz konusu güvenlik açığı CVE-2023-51467’dir (CVSS puanı: 9,8), aynı yazılımdaki (CVE-2023-49070, CVSS puanı: 9,8) başka bir ciddi eksikliğin kimlik doğrulamasını atlamak ve uzaktan keyfi yürütmek için silah haline getirilebilecek bir bypass’ıdır. kod.
Bu sorun, Apache OFbiz’in geçen ay yayımlanan 18.12.11 sürümünde düzeltilmiş olsa da, tehdit aktörlerinin bu kusurdan yararlanarak savunmasız örnekleri hedef aldığı gözlemlendi.
VulnCheck’in en son bulguları, CVE-2023-51467’nin, doğrudan bellekten bir veri yükünü yürütmek için kullanılabileceğini ve kötü amaçlı faaliyetlere dair çok az iz bıraktığını veya hiç bırakmadığını gösteriyor.
Apache OFBiz’de açıklanan güvenlik kusurları (örn. CVE-2020-9496), geçmişte Sysrv botnet’iyle ilişkili tehdit aktörleri de dahil olmak üzere tehdit aktörleri tarafından istismar edilmiştir. Yazılımdaki üç yıllık bir başka hata (CVE-2021-29200), GreyNoise verilerine göre son 30 gün içinde 29 benzersiz IP adresinden yararlanma girişimlerine tanık oldu.
Dahası Apache OFBiz, Log4Shell’i (CVE-2021-44228) genel kullanıma açık olarak kullanan ilk ürünlerden biriydi; bu da hem savunucuların hem de saldırganların ilgisini çekmeye devam ettiğini gösteriyor.
CVE-2023-51467 bir istisna değildir; uzaktan kod yürütme uç noktası (“/webtools/control/ProgramExport”) ve komut yürütmeye yönelik PoC hakkındaki ayrıntılar kamuya açıklandıktan sadece birkaç gün sonra ortaya çıkar.
Güvenlik korkulukları (örn. Groovy sanal alanı), uç nokta aracılığıyla rastgele web kabukları yükleme veya Java kodu çalıştırma girişimlerini engelleyecek şekilde kurulmuş olsa da, sanal alanın eksik doğası, bir saldırganın curl komutlarını çalıştırıp ters bash elde edebileceği anlamına gelir Linux sistemlerinde kabuk.
VulnCheck’in Baş Teknoloji Sorumlusu Jacob Baines, “Gelişmiş bir saldırgan için bu yükler ideal değil” dedi. “Diske dokunuyorlar ve Linux’a özgü davranışlara güveniyorlar.”
VulnCheck tarafından tasarlanan Go tabanlı güvenlik açığı, hem Windows hem de Linux’ta çalışan ve aynı zamanda yük olarak bellek içi Nashorn ters kabuğunu başlatmak için groovy.util.Eval işlevlerinden yararlanarak reddedilenler listesinin etrafından dolaşan platformlar arası bir çözümdür. .
Baines, “OFBiz yaygın olarak popüler değil, ancak geçmişte istismar edildi. CVE-2023-51467 hakkında oldukça fazla abartılı reklam var, ancak kamuya açık silahlandırılmış yük yok, bu da bunun mümkün olup olmadığı konusunda şüphe uyandırdı” dedi. “Bunun mümkün olduğu sonucuna vardık, aynı zamanda bellek kodunun yürütülmesinde keyfi sonuçlar da elde edebiliriz.”