Ciberseguridad 360 | Nuevo exploit PoC para la vulnerabilidad de Apache OfBiz

Investigadores de ciberseguridad han desarrollado un c�digo de prueba de concepto (PoC) que explota un fallo cr�tico recientemente revelado en el sistema de planificaci�n de recursos empresariales (ERP) de c�digo abierto Apache OfBiz para ejecutar una carga �til residente en memoria.

La vulnerabilidad en cuesti�n es CVE-2023-51467 (puntuaci�n CVSS: 9,8), un bypass para otra grave deficiencia en el mismo software (CVE-2023-49070, puntuaci�n CVSS: 9,8) que podr�a utilizarse como arma para eludir la autenticaci�n y ejecutar remotamente c�digo arbitrario.

Aunque se solucion� en la versi�n 18.12.11 de Apache OFbiz publicada el mes pasado, se han observado amenazas que intentan explotar el fallo, dirigi�ndose a instancias vulnerables.

Los �ltimos hallazgos de VulnCheck muestran que CVE-2023-51467 puede ser explotado para ejecutar una carga �til directamente desde la memoria, dejando poco o ning�n rastro de actividad maliciosa.

Los fallos de seguridad revelados en Apache OFBiz (por ejemplo, CVE-2020-9496) han sido explotados por agentes de amenazas en el pasado, incluidos los asociados a la red de bots Sysrv. Otro fallo de tres a�os de antig�edad (CVE-2021-29200) ha sido objeto de intentos de explotaci�n desde 29 direcciones IP �nicas en los �ltimos 30 d�as, seg�n datos de GreyNoise.

Adem�s, Apache OFBiz fue tambi�n uno de los primeros productos en tener un exploit p�blico para Log4Shell (CVE-2021-44228), lo que demuestra que sigue siendo de inter�s tanto para los defensores como para los atacantes.

CVE-2023-51467 no es una excepci�n, con detalles sobre un endpoint de ejecuci�n remota de c�digo ("/webtools/control/ProgramExport") as� como PoC para la ejecuci�n de comandos emergiendo apenas unos d�as despu�s de su revelaci�n p�blica.

Aunque se han erigido barreras de seguridad (es decir, Groovy sandbox) que bloquean cualquier intento de cargar web shells arbitrarias o ejecutar c�digo Java a trav�s del endpoint, la naturaleza incompleta del sandbox significa que un atacante podr�a ejecutar comandos curl y obtener un shell inverso bash en sistemas Linux.

"Para un atacante avanzado, sin embargo, estas cargas �tiles no son ideales", dijo el Director de Tecnolog�a de VulnCheck, Jacob Baines. "Tocan el disco y dependen de un comportamiento espec�fico de Linux".

El exploit basado en Go ideado por VulnCheck es una soluci�n multiplataforma que funciona tanto en Windows como en Linux y sortea la denylist aprovechando las funciones groovy.util.Eval para lanzar un shell inverso Nashorn en memoria como carga �til.

"OFBiz no es muy popular, pero ha sido explotado en el pasado. Se ha dado mucho bombo a la CVE-2023-51467, pero no se ha hecho p�blica ninguna carga �til, lo que pon�a en duda que fuera posible", explica Baines. "Hemos llegado a la conclusi�n de que no s�lo es posible, sino que podemos lograr la ejecuci�n arbitraria de c�digo en memoria".

Fuente: thehackernews