Para peneliti dalam bidang keamanan siber telah berhasil menciptakan kode bukti konsep (PoC) yang memanfaatkan celah kritis yang baru saja terungkap dalam sistem Perencanaan Sumber Daya Perusahaan (ERP) open-source Apache OfBiz. Kode ini mampu mengeksekusi payload yang disimpan dalam memori.
Kerentanan yang menjadi sorotan adalah CVE-2023-51467 (dengan skor CVSS: 9.8). Ini merupakan celah yang dapat digunakan sebagai pintu belakang untuk kerentanan serius lainnya dalam perangkat lunak yang sama (CVE-2023-49070, dengan skor CVSS: 9.8). Celah ini dapat digunakan untuk melewati proses otentikasi dan mengeksekusi kode dari jarak jauh secara sewenang-wenang.
Meski masalah ini telah diperbaiki dalam versi Apache OFbiz 18.12.11 yang dirilis bulan lalu, ada laporan bahwa pelaku ancaman telah mencoba mengeksploitasi kerentanan ini. Mereka menargetkan sistem yang rentan terhadap celah ini.
Penemuan terbaru dari VulnCheck menunjukkan bahwa CVE-2023-51467 dapat dieksploitasi untuk mengeksekusi payload langsung dari memori. Hal ini dilakukan tanpa meninggalkan jejak aktivitas yang merugikan.
Keamanan siber menjadi topik yang penting. Beberapa kerentanan keamanan yang terungkap di Apache OFBiz (misalnya, CVE-2020-9496) telah dieksploitasi oleh pelaku ancaman di masa lalu. Salah satunya adalah pelaku ancaman yang terkait dengan botnet Sysrv.
Bug lain yang sudah berusia tiga tahun dalam perangkat lunak (CVE-2021-29200) telah melihat upaya eksploitasi dari 29 alamat IP unik selama 30 hari terakhir, menurut data dari GreyNoise.
Apache OFBiz juga menjadi salah satu produk pertama yang memiliki eksploitasi publik untuk Log4Shell (CVE-2021-44228). Hal ini menunjukkan bahwa produk ini terus menjadi perhatian baik oleh pembela maupun penyerang.
CVE-2023-51467 juga tidak terkecuali. Detail tentang titik akhir eksekusi kode jarak jauh (“/webtools/control/ProgramExport”) serta PoC untuk eksekusi perintah muncul hanya beberapa hari setelah pengungkapan publik.
Meski telah dipasang pagar keamanan (yaitu, Groovy sandbox) yang dirancang untuk memblokir upaya apa pun untuk mengunggah shell web sewenang-wenang atau menjalankan kode Java melalui titik akhir, namun sifat sandbox yang tidak lengkap berarti bahwa penyerang dapat menjalankan perintah curl dan mendapatkan bash reverse shell pada sistem Linux.
“Namun, bagi penyerang tingkat lanjut, muatan ini tidak ideal,” kata Chief Technology Officer VulnCheck, Jacob Baines. “Mereka menyentuh disk dan mengandalkan perilaku spesifik Linux.” Eksploitasi berbasis Go yang dirancang oleh VulnCheck adalah solusi lintas platform yang bekerja pada Windows dan Linux serta mengatasi daftar penolakan dengan memanfaatkan fungsi groovy.util.Eval untuk meluncurkan shell terbalik Nashorn di dalam memori sebagai muatannya. “OFBiz mungkin tidak terlalu populer, namun telah dieksploitasi di masa lalu. Ada cukup banyak hype seputar CVE-2023-51467 tetapi tidak ada muatan senjata publik, yang menimbulkan pertanyaan apakah hal itu mungkin dilakukan,” kata Baines. “Kami telah menyimpulkan bahwa hal ini tidak hanya mungkin, namun kami juga dapat mencapai kesewenang-wenangan dalam eksekusi kode memori.”
Kerentanan yang menjadi sorotan adalah CVE-2023-51467 (dengan skor CVSS: 9.8). Ini merupakan celah yang dapat digunakan sebagai pintu belakang untuk kerentanan serius lainnya dalam perangkat lunak yang sama (CVE-2023-49070, dengan skor CVSS: 9.8). Celah ini dapat digunakan untuk melewati proses otentikasi dan mengeksekusi kode dari jarak jauh secara sewenang-wenang.
Meski masalah ini telah diperbaiki dalam versi Apache OFbiz 18.12.11 yang dirilis bulan lalu, ada laporan bahwa pelaku ancaman telah mencoba mengeksploitasi kerentanan ini. Mereka menargetkan sistem yang rentan terhadap celah ini.
Penemuan terbaru dari VulnCheck menunjukkan bahwa CVE-2023-51467 dapat dieksploitasi untuk mengeksekusi payload langsung dari memori. Hal ini dilakukan tanpa meninggalkan jejak aktivitas yang merugikan.
Keamanan siber menjadi topik yang penting. Beberapa kerentanan keamanan yang terungkap di Apache OFBiz (misalnya, CVE-2020-9496) telah dieksploitasi oleh pelaku ancaman di masa lalu. Salah satunya adalah pelaku ancaman yang terkait dengan botnet Sysrv.
Bug lain yang sudah berusia tiga tahun dalam perangkat lunak (CVE-2021-29200) telah melihat upaya eksploitasi dari 29 alamat IP unik selama 30 hari terakhir, menurut data dari GreyNoise.
Apache OFBiz juga menjadi salah satu produk pertama yang memiliki eksploitasi publik untuk Log4Shell (CVE-2021-44228). Hal ini menunjukkan bahwa produk ini terus menjadi perhatian baik oleh pembela maupun penyerang.
CVE-2023-51467 juga tidak terkecuali. Detail tentang titik akhir eksekusi kode jarak jauh (“/webtools/control/ProgramExport”) serta PoC untuk eksekusi perintah muncul hanya beberapa hari setelah pengungkapan publik.
Meski telah dipasang pagar keamanan (yaitu, Groovy sandbox) yang dirancang untuk memblokir upaya apa pun untuk mengunggah shell web sewenang-wenang atau menjalankan kode Java melalui titik akhir, namun sifat sandbox yang tidak lengkap berarti bahwa penyerang dapat menjalankan perintah curl dan mendapatkan bash reverse shell pada sistem Linux.
“Namun, bagi penyerang tingkat lanjut, muatan ini tidak ideal,” kata Chief Technology Officer VulnCheck, Jacob Baines. “Mereka menyentuh disk dan mengandalkan perilaku spesifik Linux.” Eksploitasi berbasis Go yang dirancang oleh VulnCheck adalah solusi lintas platform yang bekerja pada Windows dan Linux serta mengatasi daftar penolakan dengan memanfaatkan fungsi groovy.util.Eval untuk meluncurkan shell terbalik Nashorn di dalam memori sebagai muatannya. “OFBiz mungkin tidak terlalu populer, namun telah dieksploitasi di masa lalu. Ada cukup banyak hype seputar CVE-2023-51467 tetapi tidak ada muatan senjata publik, yang menimbulkan pertanyaan apakah hal itu mungkin dilakukan,” kata Baines. “Kami telah menyimpulkan bahwa hal ini tidak hanya mungkin, namun kami juga dapat mencapai kesewenang-wenangan dalam eksekusi kode memori.”