Zero-Day Critico nel Sistema Apache OfBiz ERP Espone le Aziende a Attacchi
Una nuova vulnerabilità di sicurezza zero-day è stata scoperta in Apache OfBiz, un sistema open-source di Enterprise Resource Planning (ERP), che potrebbe essere sfruttata per eludere le protezioni di autenticazione.
La vulnerabilità, identificata come CVE-2023-51467, risiede nella funzionalità di accesso ed è il risultato di un patch incompleto per un’altra vulnerabilità critica (CVE-2023-49070, punteggio CVSS: 9.8) rilasciata all’inizio di questo mese.
“I provvedimenti di sicurezza adottati per correggere CVE-2023-49070 hanno lasciato intatto il problema di base e quindi il bypass dell’autenticazione era ancora presente,” ha dichiarato il team di ricerca minacce di SonicWall Capture Labs, che ha scoperto il bug, in una dichiarazione condivisa con The Hacker News.
CVE-2023-49070 si riferisce a una vulnerabilità di esecuzione remota di codice pre-autenticata che influisce sulle versioni precedenti alla 18.12.10 e che, se sfruttata con successo, potrebbe consentire a attori minacciosi di ottenere il controllo completo del server e sottrarre dati sensibili. È causata da un componente XML-RPC deprecato all’interno di Apache OFBiz.
Secondo SonicWall, CVE-2023-51467 potrebbe essere attivato utilizzando parametri USERNAME e PASSWORD vuoti e non validi in una richiesta HTTP per restituire un messaggio di autenticazione riuscita, eludendo efficacemente la protezione e consentendo a un attore minaccioso di accedere a risorse interne altrimenti non autorizzate.
L’attacco si basa sul fatto che il parametro “requirePasswordChange” è impostato su “Y” (cioè sì) nell’URL, causando il bypass dell’autenticazione in modo banale indipendentemente dai valori passati nei campi username e password.
“La vulnerabilità consente agli attaccanti di aggirare l’autenticazione per ottenere un semplice Server-Side Request Forgery (SSRF)”, secondo la descrizione della vulnerabilità sul National Vulnerability Database (NVD) del NIST.
Si consiglia agli utenti che dipendono da Apache OFbiz di aggiornare alla versione 18.12.11 o successiva il prima possibile per mitigare eventuali minacce.