Cybersicherheitsforscher haben einen Proof-of-Concept (PoC)-Code entwickelt, der eine kürzlich offengelegte schwerwiegende Schwachstelle im Apache OfBiz Open-Source-Enterprise-Resource-Planning (ERP)-System ausnutzt, um eine Speicherresidente Nutzlast auszuführen.
Bei der betreffenden Schwachstelle handelt es sich um ${match} (CVSS-Score: 9.8), um eine Umgehung für eine andere schwerwiegende Schwachstelle in derselben Software (${match}, CVSS-Score: 9.8), die dazu genutzt werden kann, die Authentifizierung zu umgehen und beliebigen Code remote auszuführen.
Obwohl sie in der letzten im letzten Monat veröffentlichten Version 18.12.11 von Apache OFbiz behoben wurde, wurde beobachtet, dass Angreifer versuchen, die Schwachstelle auszunutzen und anfällige Instanzen anzugreifen.
Die neuesten Ergebnisse von VulnCheck zeigen, dass ${match} ausgenutzt werden kann, um eine Nutzlast direkt aus dem Speicher auszuführen und dabei kaum oder keine Spuren von bösartiger Aktivität zu hinterlassen.
Sicherheitslücken in Apache OFBiz (z.B. ${match}) wurden in der Vergangenheit bereits von Angreifern ausgenutzt, darunter auch von Akteuren, die mit dem Sysrv-Botnetzwerk in Verbindung gebracht wurden. Ein weiterer drei Jahre alter Fehler in der Software (${match}) wurde in den letzten 30 Tagen von 29 eindeutigen IP-Adressen versucht auszunutzen, wie Daten von GreyNoise zeigen.
Darüber hinaus war Apache OFBiz auch eines der ersten Produkte, für das ein öffentlicher Exploit für Log4Shell (${match}) verfügbar war, was zeigt, dass es weiterhin für Verteidiger und Angreifer gleichermaßen interessant ist.
${match} bildet hier keine Ausnahme, da Details zu einem Endpunkt für die Ausführung von Remote Code („/webtools/control/ProgramExport“) sowie ein PoC für die Befehlsausführung nur wenige Tage nach der öffentlichen Offenlegung aufgetaucht sind.
Obwohl Sicherheitsvorkehrungen (wie der Groovy-Sandbox) vorhanden sind, die jeden Versuch, beliebige Webshells hochzuladen oder Java-Code über den Endpunkt auszuführen, blockieren, ist die unvollständige Natur der Sandbox so, dass ein Angreifer curl-Befehle ausführen und auf Linux-Systemen eine Bash Reverse-Shell erhalten könnte.
„Für einen fortgeschrittenen Angreifer sind diese Nutzlasten jedoch nicht ideal“, sagte Jacob Baines, CTO von VulnCheck. „Sie berühren die Festplatte und sind auf Linux-spezifisches Verhalten angewiesen.“
Der von VulnCheck entwickelte Exploit, der auf der Programmiersprache Go basiert, ist eine plattformübergreifende Lösung, die sowohl unter Windows als auch unter Linux funktioniert und die Ablehnungsliste umgeht, indem sie die Funktionen groovy.util.Eval nutzt, um eine Nashorn Reverse-Shell im Speicher als Nutzlast zu starten.
„OFBiz ist nicht besonders beliebt, aber es wurde in der Vergangenheit bereits ausgenutzt. Es gibt viel Hype um ${match}, aber keine öffentlich verfügbare bewaffnete Nutzlast, was die Frage aufwirft, ob es überhaupt möglich ist“, sagte Baines. „Wir sind zu dem Schluss gekommen, dass es nicht nur möglich ist, sondern dass wir beliebigen Code im Speicher ausführen können.“