Apache OFBiz の新たな脆弱性:懸念される Atlassian Confluence への攻撃

Apache OFBiz RCE flaw exploited to find vulnerable Confluence servers

2023/12/28 BleepingComputer — Apache OFBiz に存在する、深刻な認証前リモート・コード実行の脆弱性だが、すでに公開されている PoC エクスプロイトを用いる活発な悪用が観測されている。Apache OFBiz (Open For Business) はオープンソースの企業資源計画システムであり、電子商取引の在庫/注文の管理/人事業務/会計業務などで、数多くの企業に利用されている。

具体的に言うと、OFBiz は世界の 12万社以上に利用されている、商用プロジェクト管理/課題追跡ソフトウェアである Atlassian JIRA の一部でもある。そのため、このオープンソース・プロジェクトの欠陥は。すべての Atlassian 製品に継承される。

なお、この認証バイパスの脆弱性 CVE-2023-49070 は、2023年12月5日にリリースされた OFBiz バージョン 18.12.10 で修正されている。この問題により、攻撃者は認証なしで特権を昇格させ、任意のコードを実行し、機密情報にアクセスする可能性を得ていた。

その一方で、OFBiz から XML-RPC コードを削除するという、今回の Apache の修正を調査していた SonicWall の研究者たちは、脆弱性 CVE-2023-49070 の根本原因が、他にも存在していることを発見した。この不完全な修正により、完全にパッチが適用されたバージョンのソフトウェアにおいても、攻撃者たちによる CVE-2023-49070 の悪用が可能だという。

攻撃で積極的に悪用

12月26日日に発表された記事の中で、SonicWall の研究者たちは、特定のクレデンシャルの組み合わせを使用する場合において、脆弱性 CVE-2023-49070 に対する Apache の修正を、バイパスすることが可能であることを実証している。

SonicWall のレポートには、「以前に公開された脆弱性 CVE-2023-49070 の根本原因を調査しているときに問題が発見された。この CVE-2023-49070 にパッチを適用するために取られたセキュリティ対策は、根本的な問題を放置しているため、依然として認証バイパスが存在している。このパッチ・バイパスの原因は、”requirePasswordChange=Y” のような特殊なパラメータを処理する際のロジックの欠陥にある」と記されている。

Vulnerable authentication logic function
Vulnerable authentication logic function (SonicWall)

SonicWall は、この発見を Apache チームに報告し、Apache チームはサーバー・サイド・リクエスト・フォージェリ (SSRF) の問題に分類される、この欠陥を直ちに修正した。この新しいバイパスの問題には、脆弱性 CVE-2023-51467 が割り当てられ、2023年12月26日にリリースされた OFBiz バージョン 18.12.11 で対処された。

しかし、この最新リリースへのアップグレード数は少なく、pre-auth RCE の公開 PoC エクスプロイトが豊富にあるため、ハッカーたちの格好の標的となっている。今日になって、脅威監視サービス である Shadowserver は、脆弱性 CVE-2023-49070 を悪用する公開 PoC を介した、相当数のスキャンを検出したと報告している。

tweet

ShadowServer の CEO である Piotr Kijewski は、「12月を通して、脆弱性 CVE-2023-49070 の公開 PoC を悪用するスキャンを観測しているが、新たな脆弱性 CVE-2023-51467 についても悪用が予想される。現在の悪用の試みは、oast.online の URL に接続させることで、脆弱なサーバーを見つけるために行われている」と警告している。

研究者たちは、脆弱なサーバをスキャンしている人々は、脆弱な Atlassian Confluence サーバの検出に強い興味を持っていると述べている。

一般的に Confluence サーバは、機密データを保持しており、内部サービスへの横展開や恐喝に利用される可能性があるため、脅威アクターたちにとって人気のターゲットとなっている。

リスクを最小化するために推奨されるのは、Apache OFBiz のバージョンを、可能な限り早急に 18.12.11 にアップグレードすることである。

Apache OFBiz の脆弱性 CVE-2023-49070/CVE-2023-51467 に関する記事は、これで3回目だったと思いますが、なんとなく全容が見えてきたように感じられます。そして心配なのは、この脆弱性から Atlassian Confluence サーバを探し出し、標的としようとする脅威アクターたちの動きです。よろしければ、Apache OFBiz で検索、および、Atlassian Confluence 検索を、ご利用ください。