Une vulnérabilité critique d’exécution de code à distance de pré-authentification Apache OFBiz est activement exploitée à l’aide d’exploits de preuve de concept (PoC) publics.

Apache OFBiz (Open For Business) est un système de planification des ressources d’entreprise open source que de nombreuses entreprises utilisent pour la gestion des stocks et des commandes de commerce électronique, les opérations de ressources humaines et la comptabilité.

OFBiz fait partie d’Atlassian JIRA, un logiciel de gestion de projets commerciaux et de suivi des problèmes utilisé par plus de 120 000 entreprises dans le monde. Par conséquent, toutes les failles du projet open source sont héritées du produit Atlassian.

Cette faille de contournement d’authentification est suivie sous le numéro CVE-2023-49070 et a été corrigée dans OFBiz version 18.12.10, publiée le 5 décembre 2023.

Le problème a potentiellement permis aux attaquants d’élever leurs privilèges sans authentification, d’exécuter du code arbitraire et d’accéder à des informations sensibles.

En étudiant le correctif d’Apache, qui consistait à supprimer le code XML-RPC d’OFBiz, les chercheurs de SonicWall ont découvert que la cause première de CVE-2023-49070 était toujours présente.

Ce correctif incomplet permettait toujours aux attaquants d’exploiter le bogue dans une version entièrement corrigée du logiciel.

Activement exploité dans les attaques
Dans un article publié hier, les chercheurs de SonicWall démontrent qu’il est possible de contourner le correctif d’Apache pour la vulnérabilité CVE-2023-49070 lors de l’utilisation de combinaisons d’informations d’identification spécifiques.

« Il a été découvert lors de la recherche de la cause première du CVE-2023-49070 précédemment divulgué », explique le rapport de SonicWall.

« Les mesures de sécurité prises pour corriger CVE-2023-49070 ont laissé le problème racine intact et, par conséquent, le contournement d’authentification était toujours présent. »

Ce contournement de correctif est causé par une logique défectueuse dans la gestion des paramètres vides ou spéciaux tels que « requirePasswordChange = Y ».

Fonction logique d’authentification vulnérable

SonicWall a signalé ses découvertes à l’équipe Apache, qui a rapidement résolu la faille, qu’elle a classée comme un problème de falsification de requêtes côté serveur (SSRF).

Le nouveau problème de contournement a été attribué à CVE-2023-51467 et a été résolu dans OFBiz version 18.12.11, publiée le 26 décembre 2023.

Cependant, peu d’entre eux ont encore mis à niveau vers cette dernière version, et l’abondance d’exploits POC publics pour le RCE pré-authentification fait de la faille une cible facile pour les pirates.

Le service de surveillance des menaces « Shadowserver » a signalé aujourd’hui qu’il avait détecté un certain nombre d’analyses qui exploitent les POC publics, tentant d’exploiter CVE-2023-49070.

« Tout au long du mois de décembre, nous avons observé des analyses utilisant un PoC qui a été publié pour CVE-2023-49070, alors attendez-vous à la même chose pour CVE-2023-51467 », a averti Piotr Kijewski, PDG de ShadowServer.

Kijewski a déclaré à Breachtrace que des tentatives d’exploitation en cours étaient en cours pour trouver des serveurs vulnérables en les forçant à se connecter à un oast.URL en ligne.

Les chercheurs ont en outre déclaré que ceux qui analysent les serveurs vulnérables sont particulièrement intéressés par la recherche de serveurs Confluence vulnérables.

Les serveurs Confluence sont une cible populaire pour les acteurs de la menace, car ils contiennent généralement des données sensibles qui peuvent être utilisées pour se propager latéralement à d’autres services internes ou pour extorquer de l’argent.

Pour minimiser les risques, il est recommandé aux utilisateurs d’Apache OFBiz de passer à la version 18.12.11 dès que possible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *