Uma vulnerabilidade crítica de execução remota de código de pré-autenticação do Apache OFBiz está sendo explorada ativamente usando explorações de prova de conceito (PoC) públicas.
Apache OFBiz (Open For Business) é um sistema de planejamento de recursos empresariais de código aberto que muitas empresas usam para inventário de comércio eletrônico e gerenciamento de pedidos, operações de recursos humanos e contabilidade.
OFBiz faz parte do Atlassian JIRA, um software comercial de gerenciamento de projetos e rastreamento de problemas usado por mais de 120.000 empresas em todo o mundo. Portanto, quaisquer falhas no projeto de código aberto são herdadas pelo produto da Atlassian.
Essa falha de desvio de autenticação é rastreada como CVE-2023-49070 e foi corrigida na versão 18.12.10 do OFBiz, lançada em 5 de dezembro de 2023.
O problema potencialmente permitiu que os invasores elevassem seus privilégios sem autenticação, executassem códigos arbitrários e acessassem informações confidenciais.
Ao investigar a correção do Apache, que consistia em remover o código XML-RPC do OFBiz, os pesquisadores da SonicWall descobriram que a causa raiz do CVE-2023-49070 ainda estava presente.
Essa correção incompleta ainda permitiu que invasores explorassem o bug em uma versão totalmente corrigida do software.
Explorado ativamente em ataques
Em um artigo publicado ontem, os pesquisadores da SonicWall demonstram que é possível contornar a correção do Apache para a vulnerabilidade CVE-2023-49070 ao usar combinações de credenciais específicas.
"Isso foi descoberto durante a pesquisa da causa raiz do CVE-2023-49070 divulgado anteriormente", explica o relatório da SonicWall.
"As medidas de segurança tomadas para corrigir o CVE-2023-49070 deixaram a raiz do problema intacta e, portanto, o desvio de autenticação ainda estava presente."
Esse desvio de patch é causado por falhas lógicas no tratamento de parâmetros vazios ou especiais, como "requirePasswordChange=Y".
Função lógica de autenticação vulnerável (SonicWall)
A SonicWall relatou suas descobertas à equipe do Apache, que rapidamente resolveu a falha, que foi categorizada como um problema de falsificação de solicitação no servidor (SSRF).
O novo problema de bypass foi atribuído CVE-2023-51467 e foi resolvido na versão 18.12.11 do OFBiz, lançada em 26 de dezembro de 2023.
No entanto, poucos atualizaram para esta versão mais recente ainda, e a abundância de explorações públicas de PoCs para o RCE pré-autenticação torna a falha um alvo fácil para hackers.
O serviço de monitoramento de ameaças ‘Shadowserver’ relatou hoje que detectou algumas varreduras que aproveitam PoCs públicos, tentando explorar CVE-2023-49070.
“Ao longo de dezembro, observamos varreduras usando um PoC que foi publicado para CVE-2023-49070, portanto, espere algo semelhante para CVE-2023-51467”, alertou Piotr Kijewski, CEO da ShadowServer.
Kijewski disse ao BleepingComputer que as atuais tentativas de exploração estão sendo conduzidas para encontrar servidores vulneráveis, forçando-os a se conectarem a um URL oast.online.
Os pesquisadores disseram ainda que aqueles que verificam servidores vulneráveis estão particularmente interessados em encontrar servidores vulneráveis do Confluence.
Os servidores Confluence são um alvo popular para agentes de ameaças, pois geralmente contêm dados confidenciais que podem ser usados para propagação lateral para outros serviços internos ou para extorsão.
Para minimizar o risco, recomenda-se que os usuários do Apache OFBiz façam upgrade para a versão 18.12.11 o mais rápido possível.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/apache-ofbiz-rce-flaw-exploited-to-find-vulnerable-confluence-servers/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #falha #do #apache #ofbiz #rce #explorada #para #encontrar #servidores #confluence #vulneráveis
Postar um comentário