Pesquisadores de cibersegurança desenvolveram um código de prova de conceito (PoC) que explora uma falha crítica recentemente divulgada no sistema de Planejamento de Recursos Empresariais (ERP) de código aberto Apache OfBiz para executar um payload residente na memória.
A vulnerabilidade em questão é a
CVE-2023-51467
(pontuação CVSS: 9.8), uma brecha para outra falha grave no mesmo software (
CVE-2023-49070
, pontuação CVSS: 9.8) que poderia ser usada para burlar a autenticação e executar remotamente um código arbitrário.
Embora tenha sido corrigido na versão 18.12.11 do Apache OFbiz lançada no mês passado, os agentes de ameaças foram observados tentando explorar a falha, visando instâncias vulneráveis.
Os últimos resultados da VulnCheck mostram que a
CVE-2023-51467
pode ser explorada para executar um payload diretamente da memória, deixando pequenas ou nenhuma evidência de atividade maliciosa.
Falhas de segurança divulgadas no Apache OFbiz (por exemplo,
CVE-2020-9496
) foram exploradas por agentes de ameaças no passado, incluindo aqueles associados ao botnet Sysrv.
Outro bug de três anos de idade no software (
CVE-2021-29200
) presenciou tentativas de exploração de 29 endereços IP únicos nos últimos 30 dias, segundo dados da GreyNoise.
Além disso, o Apache OFbiz foi um dos primeiros produtos a ter um exploit público para Log4Shell (
CVE-2021-44228
), ilustrando que ele continua sendo de interesse tanto para defensores quanto para atacantes.
CVE-2023-51467
não é exceção, com detalhes sobre um ponto de execução de código remoto ("/webtools/control/ProgramExport") e PoC para execução de comando surgindo poucos dias após a divulgação pública.
Enquanto barreiras de segurança (ou seja, sandbox do Groovy) foram erguidas de forma a bloquear quaisquer tentativas de fazer upload de web shells arbitrários ou executar o código Java via endpoint, a natureza incompleta do sandbox significa que um atacante poderia executar comandos curl e obter um shell reverso bash nos sistemas Linux.
"Para um atacante avançado, porém, esses payloads não são ideais", disse o Diretor de Tecnologia da VulnCheck, Jacob Baines.
"Elas tocam o disco e dependem do comportamento específico do Linux."
O exploit baseado em Go, idealizado pela VulnCheck, é uma solução multiplataforma que funciona tanto no Windows quanto no Linux, além de contornar a lista de negação ao aproveitar as funções groovy.util.Eval para lançar um shell reverso Nashorn na memória como payload.
"O OFbiz não é amplamente popular, mas foi explorado no passado.
Há um justo exagero em torno da
CVE-2023-51467
, mas nenhum payload sendo utilizado públicamente, o que levantou a questão de se isso era mesmo possível", disse Baines.
"Concluímos que não só é possível, mas podemos alcançar a execução arbitrária de código na memória."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...