Một lỗ hổng bảo mật zero-day mới đã được phát hiện trong Apache OfBiz, một hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở có thể bị khai thác để vượt qua các biện pháp bảo vệ xác thực.
Lỗ hổng, được theo dõi là CVE-2023-51467, nằm trong chức năng đăng nhập và là kết quả của một bản vá chưa hoàn chỉnh cho một lỗ hổng nghiêm trọng khác (CVE-2023-49070, điểm CVSS: 9.8) đã được phát hành vào đầu tháng này.
"Các biện pháp bảo mật được thực hiện để vá CVE-2023-49070 vẫn giữ nguyên vấn đề gốc rễ và do đó việc bỏ qua xác thực vẫn còn tồn tại", nhóm nghiên cứu mối đe dọa của SonicWall Capture Labs, người đã phát hiện ra lỗi, cho biết trong một tuyên bố được chia sẻ với The Hacker VN.
CVE-2023-49070 đề cập đến một lỗ hổng thực thi mã từ xa được xác thực trước ảnh hưởng đến các phiên bản trước 18.12.10, khi được khai thác thành công, có thể cho phép các tác nhân đe dọa giành toàn quyền kiểm soát máy chủ và hút dữ liệu nhạy cảm. Nó được gây ra do một thành phần XML-RPC không dùng nữa trong Apache OFBiz.
Theo SonicWall, CVE-2023-51467 có thể được kích hoạt bằng cách sử dụng các tham số USERNAME và PASSWORD trống và không hợp lệ trong yêu cầu HTTP để trả về thông báo xác thực thành công, phá vỡ hiệu quả sự bảo vệ và cho phép tác nhân đe dọa truy cập vào các tài nguyên nội bộ trái phép.
Cuộc tấn công xoay quanh thực tế là tham số "requirePasswordChange" được đặt thành "Y" (tức là có) trong URL, khiến việc xác thực bị bỏ qua một cách tầm thường bất kể các giá trị được truyền trong trường tên người dùng và mật khẩu.
"Lỗ hổng cho phép kẻ tấn công vượt qua xác thực để đạt được Giả mạo Yêu cầu Phía Máy chủ (SSRF) đơn giản", theo mô tả về lỗ hổng trên Cơ sở dữ liệu lỗ hổng quốc gia NIST (NVD).
Người dùng dựa vào Apache OFbiz để cập nhật lên phiên bản 18.12.11 trở lên càng sớm càng tốt để giảm thiểu mọi mối đe dọa tiềm ẩn.