网络安全公司VulnCheck的研究人员为最近披露的Apache OfBiz关键漏洞CVE-2023-51467创建了一个概念验证(PoC)的攻击代码。
去年12月,专家们警告称Apache OfBiz存在一个影响其身份验证的零日漏洞,该漏洞是一款开源企业资源规划(ERP)系统。攻击者可以利用这个被跟踪为CVE-2023-51467的漏洞绕过身份验证,从而实现简单的服务器端请求伪造(SSRF)。问题出现在登录功能中,是由于对预身份验证远程命令执行(RCE)漏洞CVE-2023-49070(CVSS评分:9.8)的修补不完整导致的。
SonicWall的研究人员指出,Apache OfBiz是知名软件供应链的一部分,例如Atlassian的JIRA(被超过120,000家公司使用)。SonicWall发布的报告中写道:“因此,与许多供应链库一样,如果受到威胁行为者的利用,这个漏洞的影响可能会很严重。我们的研究表明,这个漏洞可能会导致敏感信息的泄露,甚至可以像下面的短视频中展示的那样,由未经身份验证的攻击者执行任意代码,使用版本18.12.10,在该版本中执行了“ping”系统应用程序。” SonicWall的研究人员发现,魔术字符串requirePasswordChange=Y是绕过身份验证的根本原因,无论用户名和密码字段还是HTTP请求中的其他参数如何。因此,删除XML RPC代码并不能完全修复此漏洞。Apache OFbiz已在发布的18.12.11版本或更高版本(提交d8b097f和ee02a33)中解决了这个漏洞。
VulnCheck的研究人员解释称,漏洞CVE-2023-51467可以被利用将恶意有效负载直接注入内存中。研究人员指出,Apache OfBiz并不是非常流行的软件。专家们查询了Shodan,并发现了超过10,000个潜在目标。专家们指出,几乎所有这些都是蜜罐。
研究人员还注意到Syssrv僵尸网络一直在利用CVE-2020-9496和CVE-2021-29200。报告还提到,OFBiz也是第一个公开的Log4Shell漏洞利用的产品之一。VulnCheck在GitHub上发布了针对Windows和Linux系统的基于Go的漏洞利用。该漏洞利用依赖于内存中的Nashorn反向 shell 作为有效载荷。
原文始发于微信公众号(黑猫安全):研究人员为Apache OFBiz漏洞CVE-2023-51467创建了一个POC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论