Исправление критической уязвимости в ERP-системе Apache открыло другую «дыру», не менее опасную
Попытка исправить проблему с обходом авторизации в ERP-системе Apache OfBiz оказалась тщетной: ключевая причина устранена не была, так что обход авторизации оставался тривиальнейшей задачей.
Шило и мыло
Попытка исправить критическую уязвимость в ERP-системе Apache OfBiz привела к появлению другой, также критической.
Ранее в декабре 2023 г. Apache Foundation выпустил патч к «багу» CVE-2023-49070, однако выяснилось, что исправление не устраняло корень проблемы.
CVE-2023-49070 (9,8 балла по шкале CVSS), это уязвимость, которая позволяет осуществлять запуск вредоносного кода до прохождения процедуры авторизации. Как следствие, потенциальные злоумышленники могут получить полный контроль над сервером и выводить значимые данные.
Проблема была вызвана присутствием в пакете устаревшего компонента XML-RPC. Уязвимость затрагивала все версии OfBiz до индекса 18.12.10. Внесенное исправление устраняло спорный код, однако, как вскоре выяснилось, это мало чему помогло.
Простым запросом и буквой Y
Новая уязвимость - CVE-2023-51467 - «срабатывает», если в HTML-запросе к серверу параметры USERNAME (имя пользователя) и PASSWORD (пароль) остаются пустыми, а кроме того в запросе выставлен параметр requirePasswordChange со значением «Y» (утвердительно).
Ошибка в коде функции авторизации приводит к тому, что в ответ приходит сообщение об успешной проверке логина и пароля, так что потенциальный злоумышленник получает доступ к внутренним ресурсам сервера.
То же самое, как выяснили эксперты компании Sonicwall Capture Labs, происходит, если задать заведомо некорректные логин и пароль. Если в запросе остается requirePasswordChange=Y, система сообщает об успешном прохождении авторизации.
В Национальной базе уязвимостей США (NIST) указывается, что CVE-2023-51467 открывает возможность осуществить «простую подмену запроса к серверу» (Server-Side Request Forgery - SSRF).
«Поразительно простая в эксплуатации уязвимость, диковатая уже самим фактом своего появления в продуктах Apache», - считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – По ее словам, еще страннее выглядит тот факт, что она появилась в результате попытки устранить другую, также критическую. «Учитывая, что система OfBiz ориентирована на бизнес, на репутации Apache такой инцидент может оставить заметное пятно», - сказала Анастасия Мельникова.
Уязвимость устраняется обновлением Apache OfBiz до версии 18.12.11.