Уязвимость Apache OFBiz RCE использована для обнаружения уязвимых серверов Confluence

Критическая уязвимость удаленного выполнения кода предварительной аутентификации Apache OFBiz активно эксплуатируется с использованием эксплойтов для публичного подтверждения концепции (PoC).

Уязвимость Apache OFBiz RCE использована для обнаружения уязвимых серверов Confluence. Фото: СС0

Apache OFBiz (Open For Business) — это система планирования ресурсов предприятия с открытым исходным кодом, которую многие компании используют для управления запасами и заказами в электронной коммерции, управления персоналом и бухгалтерского учета.

OFBiz является частью Atlassian JIRA, коммерческого программного обеспечения для управления проектами и отслеживания проблем, используемого более чем 120 тыс. компаний по всему миру. Таким образом, любые недостатки проекта с открытым исходным кодом наследуются продуктом Atlassian.

Ошибка обхода аутентификации отслеживается как CVE-2023-49070 и исправлена в OFBiz версии 18.12.10, выпущенной 5 декабря 2023 г.

Эта проблема потенциально позволяла злоумышленникам повысить свои привилегии без аутентификации, выполнить произвольный код и получить доступ к конфиденциальной информации.

Исследуя исправление Apache, которое заключалось в удалении кода XML-RPC из OFBiz, исследователи SonicWall обнаружили, что основная причина CVE-2023-49070 все еще не устранена.

Это неполное исправление по-прежнему позволяло злоумышленникам использовать ошибку.

В опубликованной статье исследователи SonicWall демонстрируют возможность обойти исправление Apache для уязвимости CVE-2023-49070 при использовании определенных комбинаций учетных данных.

Из сообщения исследователей безопасности:

«Меры безопасности, принятые для исправления CVE-2023-49070, оставили корневую проблему нетронутой, и поэтому обход аутентификации все еще присутствовал. Этот обход патча вызван ошибочной логикой обработки пустых или специальных параметров, таких как «requirePasswordChange=Y».

Команда SonicWall сообщила о своих выводах команде Apache, которая быстро устранила уязвимость, которую они классифицировали как проблему подделки запросов на стороне сервера (SSRF).

Новой проблеме обхода был присвоен номер CVE-2023-51467 и она была устранена в версии OFBiz 18.12.11, выпущенной 26 декабря 2023 г.

Однако пока немногие пользователи обновились до этой последней версии, а обилие общедоступных PoC-эксплойтов для RCE с предварительной аутентификацией делает уязвимые экземпляры легкой мишенью для хакеров.

Служба мониторинга угроз Shadowserver сообщила сегодня, что обнаружила множество сканирований, использующих общедоступные PoC и пытающихся использовать CVE-2023-49070.

Исследователи также заявили, что хакеры особенно заинтересованы в обнаружении уязвимых серверов Confluence.

Серверы Confluence являются популярной мишенью для злоумышленников, поскольку они обычно содержат конфиденциальные данные, которые могут быть использованы для последующего распространения на другие внутренние службы или для вымогательства.

Чтобы минимизировать риск, пользователям Apache OFBiz рекомендуется как можно скорее обновиться до версии 18.12.11.

Статьи по теме