Nuevo Exploit PoC para la Vulnerabilidad en Apache OFBiz Pone en Riesgo Sistemas ERP

En una reciente investigación en ciberseguridad, se ha desarrollado un código de prueba de concepto (POC) que explota una vulnerabilidad crítica recientemente revelada en el sistema de Planificación de Recursos Empresariales (ERP) de código abierto Apache OFBiz. Esta vulnerabilidad, identificada como CVE-2023-52467 con una puntuación CVSS de 9.8, representa una amenaza seria al permitir la ejecución de un código residente en memoria.

La vulnerabilidad CVE-2023-51467 es una solución para otra falla grave en el mismo software (CVE-2023-49070, puntuación CVSS: 9.8), que podría ser utilizada para eludir la autenticación y ejecutar código arbitrario de forma remota. Aunque fue corregida en la versión 18.12.11 de Apache OFBiz lanzada el mes pasado, se han observado intentos de explotación por parte de actores de amenazas, dirigidos a instancias vulnerables.

Según los últimos hallazgos, CVE-2023-51467 puede ser explotada para ejecutar un código directamente desde la memoria, dejando escasas o nulas huellas de actividad maliciosa. Este tipo de vulnerabilidades en Apache OFBiz, como la CVE-202-9496, ha sido aprovechado en el pasado por actores de amenazas, incluidos aquellos asociados con el botnet Sysrv.

El software también fue uno de los primeros en tener un exploit público para Log4Shell (CVE-2021-44228), demostrando que sigue siendo de interés tanto para defensores como para atacantes. Con respecto a CVE-2023-51467, detalles sobre un endpoint de ejecución remota de código (“/webtools/control/ProgramExport”) y un PoC para ejecución de comandos han surgido después de su divulgación pública.


Aunque se han establecido medidas de seguridad, como el “Groovy sandbox”, para bloquear intentos de cargar web shells arbitrarios o ejecutar código Java a través del endpoint, la naturaleza incompleta del sandbox significa que un atacante podría ejecutar comandos curl y obtener n Shell inverso bash en sistemas Linux.

Se advierte que, aunque estos payloads no son ideales para un atacante avanzado, ya que tocan el disco y dependen del comportamiento especifico de Linux, el exploit Go-based desarrollado por VulnCheck es una solución multiplataforma que funciona tanto en Windows como en Linux.

Aunque OFBiz no es ampliamente popular, ha sido explotado en el pasado. Hay considerable recuelo en torno a CVE-2023-51467, pero no hay un playload público armado, lo que puso en duda si era posible. Hemos concluido que no solo es posible, si no que podemos lograr una ejecución arbitraria de código de en memoria.

Esta revelación destaca la importancia continua de mantener actualizados los sistemas y la vigilancia en la seguridad cibernética, incluso para producto menos conocidos pero que pueden ser objetivos potenciales para ciberataques.

Related Posts
Clear Filters
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.