CVE-2023-49070: Critical Pre-auth RCE Vulnerability Discovered in Apache OFBiz
2023/12/05 SecurityOnline — Apache OFBiz は、OSS の ERP (enterprise resource planning) ソフトウェアとして人気を博しており、また、各種業界へと向けた包括的なビジネス・アプリケーション・スイートも提供している。その Apache OFBiz で、先日に発見された深刻な脆弱性 CVE-2023-49070 は、バージョン 18.12.10 未満に影響を及ぼすものである。この脆弱性の悪用に成功した攻撃者に対しては、影響を受けるシステム上で認証を必要としないリモートコード実行 (RCE) が許され、深刻なセキュリティ・リスクがもたらされるという。
脆弱性の理解
この脆弱性は、Apache OFBiz 内に、メンテナンスが放棄された XML-RPC コンポーネントが存在することに起因する。この XML-RPC とは、XML を介してアプリケーション間の通信を可能にするリモート・プロシージャ・コール・プロトコルのことである。かつては広く使用されていた XML-RPC たが、セキュリティ上の懸念から、いまでは非推奨となっている。Apache OFBiz に、この旧式のコンポーネントが存在することで、致命的な脆弱性が発生している。
脆弱性の悪用と影響
この脆弱性 CVE-2023-49070 の悪用に成功した攻撃者は、影響を受ける Apache OFBiz サーバ上で、事前の認証を必要とせずに任意のコードを実行できる。それにより、攻撃者によるサーバの完全な制御が達成され、機密データの窃取や業務の妨害などを含む、組織のネットワークに対する攻撃が可能になる。
この欠陥を発見したのは、セキュリティ研究者の Siebene であり、PoC エクスプロイトも発表している。
#CVE-2023-49070
Pre-auth RCE Apache Ofbiz 18.12.09#POC:
/webtools/control/xmlrpc;/?USERNAME=&PASSWORD=s&requirePasswordChange=Y
cc to me. pic.twitter.com/SHOkhzlH09
— Siebene@ (@Siebene7) December 5, 2023
影響を受けるバージョンと対策
Apache OFBiz のバージョン 18.12.10 未満には、この RCE の脆弱性が存在する。したがって、リスクを軽減するためには、Apache OFBiz 18.12.10 へのアップグレードが強く推奨される。最新バージョンへのアップグレードにより、脆弱な XML-RPC コンポーネントが削除され、RCE リスクが排除される。
Apache OFBiz が、どれほど日本国内で使われているのか、そのあたりは不明ですが、2007/04/19 の「日経:オープンソース業務アプリを提供するOFBizのアーキテクチャ」という記事で詳細が解説されていました。かなり以前から、注目を浴びていた製品なのでしょう。よろしければ、Apache OFBiz で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.