CVE-2023-51467: Apache OFBiz Pre-Authentication RCE Vulnerability
2023/12/26 SecurityOnline — Apache OFBiz は、企業プロセスの自動化のためのオープンソース製品である。この OFBiz に含まれるのは、ERP/CRM/Eビジネス/Eコマース/サプライチェーン管理/製造資源計画のための、フレームワーク・コンポーネントとビジネス・アプリケーションである。OFBiz は、信頼性が高く、安全であり、スケーラブルなエンタープライズ・ソリューションの基盤と出発点を提供する。しかし、前日に Apache OFBiz に2件の脆弱性が見つかったことで、厳重な警戒がユーザーに強いられている。
CVE-2023-50968: 任意のファイル・プロパティの読み取りと SSRF 攻撃
Apache OFBiz に存在する脆弱性 CVE-2023-50968 は、ファイル・プロパティの不正な読み取りを可能にし、SSRF (Server-Side Request Forgery) 攻撃を容易にするものである。この脆弱性の悪用は、一見無害に見える URI 呼び出しという、適切な権限付与を欠いた経路で開始される。
その影響は重大である。この脆弱性の悪用に成功した攻撃者は、システムの内部構造を知ることが可能となり、より深刻な侵害を引き起こす可能性を得る。この脅威の正体を暴いたのは、セキュリティ研究者の Yun Peng である。彼は、このリスクの特定と軽減に大きく貢献した。
影響を受ける OFBiz のバージョンには、18.12.10 以下の全リリースが含まれる。この脆弱性からシステムを保護するために、ユーザーに対して推奨されるのは、バージョン 18.12.11 へとアップグレードすることである。
CVE-2023-51467: 事前認証によるリモートコード実行 (RCE) の脆弱性
さらに憂慮すべきは、Critical に分類される脆弱性 CVE-2023-51467 である。この脆弱性は、認証前のリモートコード実行(RCE)を可能にし、攻撃による認証メカニズムの迂回と、SSRF 攻撃のダイレクトな実行を許してしまう。リモートの攻撃者が、影響を受けるシステムを制御する可能性があるため、この脅威は深刻である。
この脆弱性は、SonicWall の Senior Threat Researcher である Hasib Vhora と Gao Tian 、L0ne1y の共同作業により明らかになった。
Apache OFBiz の 18.12.11 以下のバージョンはすべて、このエクスプロイトに対して脆弱である。このセキュリティ・ホールを塞ぐために、直ちにバージョン 18.12.11 にアップデートすることを強く推奨する。
ユーザー企業が考えるべきこと
- 定期的なアップデート: 常にソフトウェアを最新バージョンにアップデートし、セキュリティパッチを確実に適用する。
- 警戒心: 企業が使用するソフトウェアの潜在的な脆弱性について常に情報を得る。
- コラボレーション: サイバーセキュリティ・コミュニティの集合知を活用し、セキュリティ体制を強化する。
- 包括的なセキュリティ戦略: ファイアウォール/侵入検知システム/定期的なセキュリティ監査などの、多層的なセキュリティ・アプローチを採用する。
Apache OFBiz に、2つの脆弱性 CVE-2023-51467/CVE-2023-51467 が発見されました。2023/12/05 にも、「Apache OFBiz の RCE 脆弱性 CVE-2023-49070 が FIX:PoC エクスプロイトも登場」がポストされており、ちょっと情報を整理し難いという状況です。
IoT OT Security News 
You must be logged in to post a comment.