یک آسیب پذیری حیاتی اجرای کد از راه دور پیش از احراز هویت در Apache OFBiz به صورت فعال توسط مهاجمین در حال بهره برداری است. این نرم افزار به صورت گسترده و در بیش از 120.000 سازمان استفاده می شود. این آسیب پذیری با شماره شناسایی CVE-2023-49070 احراز هویت را دور زده و در نسخه 18.12.10 محصول OFBiz رفع شده است.
با استفاده از این آسیب پذیری مهاجم می تواند مجوزهای خود را بدون احراز هویت ارتقا داده، کد دلخواه خود را اجرا نموده و به اطلاعات حساس دسترسی یابند.
با بررسی های بیشتر توسط محققین SonicWall مشخص شد که هنوز مشکل اصلی CVE-2023-49070 وجود دارد. این اصلاحیه ناقص همچنان به مهاجمان امکان بهره برداری از آسیب پذیری در نسخه به روز نرم افزار را میدهد.
اکسپلویت فعال در حملات
به گزارش محققین SonicWall امکان دور زدن اصلاحیه آسیب پذیری مذکور با استفاده از ترکیب مجوزهای خاصی وجود دارد. زمانی که محققین این مشکل را به تیم Apache در میان گذاشتن آنها در صدد رفع مشکل برآمدند.
مشکل دور زدن جدیدی با شماره CVE-2023-51467 نیز مشخص شد که در نسخه 18.12.11 این نرم افزار رفع شده است. با این حال هنوز تعداد زیادی سیستم آسیب پذیر وجود دارند که به آخرین نسخه آپدیت نشده اند و با توجه به فراوانی بهره برداری های عمومی PoC این آسیب پذیری یک هدف آسان برای مهاجمان است. به گزارش Shadowserver اسکن های زیادی شناسایی شده است که از PoCهای عمومی استفاده کرده و سعی در سوءاستفاده از آسیب پذیری CVE-2023-49070 دارند.
به گفته محققین امنیتی تلاش برای یافتن سرورهای آسیب پذیری از طریق اجبار آنها برای اتصال به آدرس oast.online ادامه داشته و همچنین بیشتر به دنبال یافتن سرورهای آسیب پذیر Confluence هستند. سرورهای Confluence از اهداف محبوب مهاجمان سایبری هستند چرا که معمولا اطلاعات حساس روی آنها ذخیره می شود و می تواند برای حرکت در سایر قسمت های شبکه داخلی یا اخاذی از آن سواستفاده نمود.
برای کاهش خطرات، کاربران Apache OFBiz بهتر است در اسرع وقت نرم افزار خود را به نسخه 18.12.11 ارتقا دهند.