Разделы

Безопасность

Исправление критической уязвимости в ERP-системе Apache открыло другую «дыру», не менее опасную

Попытка исправить проблему с обходом авторизации в ERP-системе Apache OfBiz оказалась тщетной: ключевая причина устранена не была, так что обход авторизации оставался тривиальнейшей задачей.

Шило и мыло

Попытка исправить критическую уязвимость в ERP-системе Apache OfBiz привела к появлению другой, также критической.

Ранее в декабре 2023 г. Apache Foundation выпустил патч к «багу» CVE-2023-49070, однако выяснилось, что исправление не устраняло корень проблемы.

CVE-2023-49070 (9,8 балла по шкале CVSS), это уязвимость, которая позволяет осуществлять запуск вредоносного кода до прохождения процедуры авторизации. Как следствие, потенциальные злоумышленники могут получить полный контроль над сервером и выводить значимые данные.

Тривиальная, но критическая уязвимость в ERP-системе Apache может повлиять на репутацию компании

Проблема была вызвана присутствием в пакете устаревшего компонента XML-RPC. Уязвимость затрагивала все версии OfBiz до индекса 18.12.10. Внесенное исправление устраняло спорный код, однако, как вскоре выяснилось, это мало чему помогло.

Простым запросом и буквой Y

Новая уязвимость - CVE-2023-51467 - «срабатывает», если в HTML-запросе к серверу параметры USERNAME (имя пользователя) и PASSWORD (пароль) остаются пустыми, а кроме того в запросе выставлен параметр requirePasswordChange со значением «Y» (утвердительно).

Ошибка в коде функции авторизации приводит к тому, что в ответ приходит сообщение об успешной проверке логина и пароля, так что потенциальный злоумышленник получает доступ к внутренним ресурсам сервера.

То же самое, как выяснили эксперты компании Sonicwall Capture Labs, происходит, если задать заведомо некорректные логин и пароль. Если в запросе остается requirePasswordChange=Y, система сообщает об успешном прохождении авторизации.

Какие требования предъявляет рынок к современной ERP-системе
Маркет

В Национальной базе уязвимостей США (NIST) указывается, что CVE-2023-51467 открывает возможность осуществить «простую подмену запроса к серверу» (Server-Side Request Forgery - SSRF).

«Поразительно простая в эксплуатации уязвимость, диковатая уже самим фактом своего появления в продуктах Apache», - считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – По ее словам, еще страннее выглядит тот факт, что она появилась в результате попытки устранить другую, также критическую. «Учитывая, что система OfBiz ориентирована на бизнес, на репутации Apache такой инцидент может оставить заметное пятно», - сказала Анастасия Мельникова.

Уязвимость устраняется обновлением Apache OfBiz до версии 18.12.11.

Роман Георгиев