Apache OFBiz, een open-source Enterprise Resource Planning (ERP) systeem, is ten prooi gevallen aan een nieuw opgegraven exemplaar zero-day beveiligingsprobleem. deze fout, geïdentificeerd als CVE-2023-51467, bevindt zich binnen de inlogfunctionaliteit van het systeem, het creëren van een potentiële mogelijkheid voor bedreigingsactoren om authenticatiewaarborgen te misbruiken en te omzeilen.
CVE-2023-51467 in detail
De oorzaak van het probleem is terug te voeren op een onvolledige patch voor een eerder kritieke kwetsbaarheid, CVE-2023-49070, met een hoge CVSS-score van 9.8. Ondanks pogingen om CVE-2023-49070 eerder deze maand aan te pakken, genomen beveiligingsmaatregelen lieten onbedoeld de deur openstaan voor een authenticatieomzeiling, wat vervolgens leidde tot de ontdekking van CVE-2023-51467. Het dreigingsonderzoeksteam van SonicWall Capture Labs, verantwoordelijk voor het ontdekken van deze fout, onthulde dat de onvolledige patching van CVE-2023-49070 het voortbestaan van het rootprobleem mogelijk maakte, het faciliteren van de authenticatie-bypass.
CVE-2023-49070, een vooraf geverifieerde fout bij het uitvoeren van externe code die van invloed is op voorgaande versies 18.12.10, brengt ernstige risico's met zich mee doordat bedreigingsactoren volledige controle krijgen over de server en de mogelijke extractie van gevoelige gegevens. De fout komt voort uit een verouderde XML-RPC-component binnen Apache OFBiz.
SonicWall heeft het exploitmechanisme voor CVE-2023-51467 uiteengezet, waarin staat dat het kan worden geactiveerd door HTTP-verzoeken in te dienen met lege of ongeldige USERNAME- en PASSWORD-parameters. Deze actie vraagt om een succesbericht voor de authenticatie, het effectief omzeilen van de bescherming en het verschaffen van ongeoorloofde toegang tot interne bronnen. Het succes van de aanval is afhankelijk van de parameter “Wachtwoordwijziging vereisen” wordt ingesteld “En” in de URL, waardoor een eenvoudige authenticatie-bypass mogelijk is, ongeacht de waarden die zijn ingevoerd in de gebruikersnaam- en wachtwoordvelden.
Beschreven als het inschakelen van een vervalsing van verzoeken aan de serverzijde (SSRF), Door de fout kunnen aanvallers de authenticatie omzeilen, vormt een aanzienlijke bedreiging voor de veiligheid van Apache OFBiz-instanties.
Updaten is cruciaal
Als reactie op deze kwetsbaarheden, gebruikers wordt sterk aangeraden om hun Apache OFBiz-installaties bij te werken naar de versie 18.12.11 of later onmiddellijk. De urgentie wordt benadrukt door Stichting Shadowserver, die een stijging heeft opgemerkt in het aantal exploitpogingen gericht op CVE-2023-49070.