Sommario
I ricercatori di cybersecurity hanno sviluppato un codice proof-of-concept (PoC) che sfrutta una recente vulnerabilità critica nel sistema di Enterprise Resource Planning (ERP) open-source Apache OfBiz, permettendo l’esecuzione di un payload residente in memoria.
Dettagli della Vulnerabilità e Rischi Associati
La vulnerabilità in questione è CVE-2023-51467 (punteggio CVSS: 9.8), un bypass di un’altra grave lacuna nel medesimo software (CVE-2023-49070, punteggio CVSS: 9.8) che potrebbe essere sfruttata per bypassare l’autenticazione ed eseguire codice arbitrario in remoto. Sebbene sia stata risolta nella versione 18.12.11 di Apache OFBiz rilasciata lo scorso mese, gli attori di minaccia hanno tentato di sfruttare la falla, prendendo di mira istanze vulnerabili.
Funzionamento dell’Exploit e Impatto sulla Sicurezza
CVE-2023-51467 può essere sfruttato per eseguire un payload direttamente dalla memoria, lasciando poche o nessuna traccia di attività malevola. Questo exploit, ideato da VulnCheck, funziona sia su sistemi Windows che Linux ed elude la denylist sfruttando le funzioni groovy.util.Eval per lanciare un reverse shell Nashorn in memoria come payload.
Implicazioni e Precedenti Exploit
Le falle di sicurezza rivelate in Apache OFBiz, come CVE-2020-9496, sono state sfruttate in passato da attori di minaccia, incluso il botnet Sysrv. Apache OFBiz è stato anche uno dei primi prodotti ad avere un exploit pubblico per Log4Shell (CVE-2021-44228), evidenziando il continuo interesse sia da parte dei difensori che degli attaccanti.
