RCE-уязвимость Apache OFBiz может стоить фирмам бизнеса и репутации.
Компания SonicWallзафиксировалатысячи ежедневных попыток использовать уязвимости нулевого дняApacheOFBiz в течение почти двух недель. Недостаток был впервые обнародован 26 декабря, после чего количество попыток эксплуатации значительно возросло.
Эксперты подтвердили, что число атак оставалось стабильным с начала 2024 года. Пользователям фреймворка Apache Software Foundation, включающего приложения для автоматизации бизнес-процессов и другие функции, предназначенные для предприятий, рекомендуется немедленно обновиться до версии OFBiz 18.12.11. Обновление устраняет как указанную уязвимость, так и вторую, не менее опасную проблему.
УязвимостьCVE-2023-51467(оценка CVSS: 9.8), обнаруженная в конце декабря, представляет собой ошибку обхода аутентификации, позволяющую злоумышленнику обойти процессы аутентификации и выполнить произвольный код на удалённом устройстве, что может привести к доступу к конфиденциальной информации.
Исследователи обнаружили проблему во время анализа корневой причины другой, отдельной уязвимости обхода аутентификации с возможностью удаленного выполнения кода (Remote Code Execution, RCE), обозначенной какCVE-2023-49070(оценка CVSS: 9.8).
Исправление Apache для второй уязвимости заключался в удалении кода для API XML-RPC, который больше не поддерживается. Однако дополнительный анализ от SonicWall показал, что корневая причина кроется в функции входа в систему. Неспособность исправить основную причину CVE-2023-49070 привела к тому, что уязвимость обхода аутентификации, которая в настоящее время широко используется, все еще оставалась в OFBiz.
Исследователи из SonicWall разработали два PoC-эксплоита (Proof-of-Concept, PoC), демонстрирующих возможность эксплуатации уязвимости. Основная причина эксплоита заключается в том, что обход аутентификации вызван неожиданным поведением при установке параметра requirePasswordChange функции входа в систему в значение «Y» в URI. КомандаApache OFBizоперативно устранила проблему, и PoC-эксплоиты SonicWall, применённые к исправленной версии (18.12.11), больше не работали.