0day в Apache OFBiz стал причиной ежедневной охоты на конфиденциальные данные

Компания SonicWall зафиксировала тысячи ежедневных попыток использовать уязвимости нулевого дня Apache OFBiz в течение почти двух недель. Недостаток был впервые обнародован 26 декабря, после чего количество попыток эксплуатации значительно возросло.

Эксперты подтвердили, что число атак оставалось стабильным с начала 2024 года. Пользователям фреймворка Apache Software Foundation, включающего приложения для автоматизации бизнес-процессов и другие функции, предназначенные для предприятий, рекомендуется немедленно обновиться до версии OFBiz 18.12.11. Обновление устраняет как указанную уязвимость, так и вторую, не менее опасную проблему.

Уязвимость CVE-2023-51467 (оценка CVSS: 9.8), обнаруженная в конце декабря, представляет собой ошибку обхода аутентификации, позволяющую злоумышленнику обойти процессы аутентификации и выполнить произвольный код на удалённом устройстве, что может привести к доступу к конфиденциальной информации.

Исследователи обнаружили проблему во время анализа корневой причины другой, отдельной уязвимости обхода аутентификации с возможностью удаленного выполнения кода (Remote Code Execution, RCE), обозначенной как CVE-2023-49070 (оценка CVSS: 9.8).

Исправление Apache для второй уязвимости заключался в удалении кода для API XML-RPC, который больше не поддерживается. Однако дополнительный анализ от SonicWall показал, что корневая причина кроется в функции входа в систему. Неспособность исправить основную причину CVE-2023-49070 привела к тому, что уязвимость обхода аутентификации, которая в настоящее время широко используется, все еще оставалась в OFBiz.

Исследователи из SonicWall разработали два PoC-эксплоита (Proof-of-Concept, PoC), демонстрирующих возможность эксплуатации уязвимости. Основная причина эксплоита заключается в том, что обход аутентификации вызван неожиданным поведением при установке параметра requirePasswordChange функции входа в систему в значение «Y» в URI. Команда Apache OFBiz оперативно устранила проблему, и PoC-эксплоиты SonicWall, применённые к исправленной версии (18.12.11), больше не работали.