Los investigadores de ciberseguridad han desarrollado un código de prueba de concepto (PoC) que explota un falla crítica recientemente revelada en el sistema de planificación de recursos empresariales (ERP) de código abierto Apache OfBiz para ejecutar una carga útil residente en la memoria.
La vulnerabilidad en cuestión es CVE-2023-51467 (Puntuación CVSS: 9,8), un bypass para otra deficiencia grave en el mismo software (CVE-2023-49070puntuación CVSS: 9,8) que podría utilizarse como arma para eludir la autenticación y ejecutar código arbitrario de forma remota.
Mientras estaba arreglado en Apache OFbiz versión 18.12.11 publicado el mes pasado, se ha observado que los actores de amenazas intentan explotar la falla, apuntando a instancias vulnerables.
Los últimos hallazgos de VulnCheck muestran que CVE-2023-51467 se puede explotar para ejecutar una carga útil directamente desde la memoria, dejando poco o ningún rastro de actividad maliciosa.
Fallos de seguridad revelados en Apache OFBiz (p. ej., CVE-2020-9496) ha sido explotado por actores de amenazas en el pasado, incluidos actores de amenazas asociados con el botnet sysrv. Otro error de hace tres años en el software (CVE-2021-29200) tiene presenciado intentos de explotación de 29 direcciones IP únicas durante los últimos 30 días, según datos de GreyNoise.
Es más, Apache OFBiz también fue uno de los primeros productos en tener una explotación pública para Log4Shell (CVE-2021-44228), lo que ilustra que sigue siendo de interés tanto para los defensores como para los atacantes.
CVE-2023-51467 no es una excepción, con detalles sobre un punto final de ejecución remota de código («/webtools/control/ProgramExport») así como PoC para la ejecución de comandos surgiendo apenas unos días después de la divulgación pública.
Mientras que las barandillas de seguridad (es decir, Caja de arena maravillosa) han sido construidos de manera que bloquear cualquier intento Para cargar shells web arbitrarios o ejecutar código Java a través del punto final, la naturaleza incompleta del sandbox significa que un atacante podría ejecutar comandos curl y obtener un shell inverso bash en sistemas Linux.
«Sin embargo, para un atacante avanzado, estas cargas útiles no son ideales», dijo el director de tecnología de VulnCheck, Jacob Baines. «Tocan el disco y dependen del comportamiento específico de Linux».
El Explotación basada en Go ideado por VulnCheck es una solución multiplataforma que funciona tanto en Windows como en Linux y evita la lista de denegados aprovechando funciones groovy.util.Eval para lanzar un shell inverso Nashorn en memoria como carga útil.
«OFBiz no es muy popular, pero ha sido explotado en el pasado. Hay bastante revuelo en torno a CVE-2023-51467, pero ninguna carga útil armamentizada pública, lo que puso en duda si era posible», dijo Baines. «Hemos llegado a la conclusión de que no sólo es posible, sino que también podemos lograr una ejecución arbitraria de código en memoria».
