近日,SonicWall Capture Labs威胁研究团队发布了关于Apache OFBiz中一个关键身份验证绕过漏洞(追踪为CVE-2023-51467)的发现。Apache OFBiz是一个开源的企业资源规划(ERP)系统,全球众多公司使用它来管理库存、财务和人力资源等。该零日漏洞于2023年12月26日披露,其CVSS评分高达9.8分(满分10分),允许远程未认证的攻击者绕过登录和安全检查,进而访问敏感数据或执行任意代码。
鉴于超过12万家企业采用了Apache OFBiz并将其集成到IT基础设施中,若攻击者在补丁发布前利用此漏洞,将构成极大的安全风险。成功利用该漏洞可以获取机密企业数据、操纵业务流程,并通过攻陷OFBiz服务器在网络中进行横向移动。在本博客中,我们将基于SonicWall的研究,深入分析CVE-2023-51467的技术细节,评估其工作原理,理解其对运行Apache OFBiz的企业的潜在影响,并审查必要的补救措施,包括升级软件和增加额外的安全控制来降低风险。
目录
什么是Apache OFBiz?
Apache OFBiz 是一个用Java编写的开源ERP系统,遵循Apache许可证发布。它提供了一套用于企业运营管理的业务工具。根据Atlassian的数据,全球超过12万家企业使用其JIRA产品,该产品集成了Apache OFBiz组件用于库存和订单管理。
认证绕过漏洞详解
认证绕过漏洞允许攻击者绕过登录或身份验证检查,从而访问受保护的数据和功能。这在Web应用程序和远程服务中被视为关键风险。
在Apache OFBiz的案例中,认证绕过漏洞使得远程未认证的攻击者能够在运行该平台的服务器上执行任意代码并访问敏感数据。这意味着任何人都可以在无需登录凭据的情况下远程运行命令和访问机密信息。
已披露漏洞概览
SonicWall Capture Labs研究团队最近在Apache OFBiz中披露了两个主要的认证绕过漏洞:CVE-2023-49070和更为严重的CVE-2023-51467。
CVE-2023-49070
此漏洞的CVSS v3.x评分为9.8(严重级别),于2023年12月5日披露。由于处理XML-RPC代码中的密码更改参数时存在逻辑缺陷,该漏洞允许攻击者绕过身份验证检查。远程未认证的攻击者可以利用此漏洞在易受攻击的OFBiz服务器上实现远程代码执行。
虽然通过移除有漏洞的XML-RPC代码初步缓解了该问题,但这暴露了更深层次的身份验证缺陷,最终导致了后续CVE-2023-51467的披露。
CVE-2023-51467
在对身份验证弱点的根本原因进行进一步分析后,此漏洞于2023年12月26日披露,其CVSS v3.x评分同样为9.8分(满分10分)。通过操纵请求参数,远程未认证的攻击者可以利用它完全绕过OFBiz的身份验证和授权检查。这不仅允许攻击者访问机密数据,还可以上传恶意脚本以实现远程代码执行。
此漏洞代表了核心的身份验证弱点,它早期通过CVE-2023-49070中的XML-RPC向量表现为可利用的漏洞。无论XML-RPC是否被禁用,它都能可靠地利用OFBiz服务器。
这两个漏洞都需要紧急修补,并安装或升级到更新的OFBiz版本,以减轻其众多用户面临的广泛风险。接下来我们将分析这些漏洞的技术原理。
技术分析
通过分析认证逻辑,研究人员发现了在某些情况下能够绕过登录检查的缺陷。
CVE-2023-49070 如何工作
此漏洞涉及与OFBiz中已弃用的XML-RPC接口相关的认证绕过。具体来说,其逻辑检查了requirePasswordChange参数,并且即使提供了空的或无效的凭证,也会返回requirePasswordChange。这使得后续的身份验证检查被跳过。通过发送带有空凭证但设置requirePasswordChange=Y的请求,攻击者可以远程执行命令。
CVE-2023-51467 如何工作
在通过移除XML-RPC代码修复了CVE-2023-49070之后,研究人员发现根本的认证缺陷仍然存在。进一步的分析表明,登录功能未能正确检查空/无效的用户名和密码,使得requirePasswordChange能够触发类似于CVE-2023-49070的认证绕过。这意味着即使对于更新了(仅移除了XML-RPC的)OFBiz版本,攻击者仍然可以通过移除XML-RPC来实现服务端请求伪造。
漏洞对比
虽然CVE-2023-49070涉及通过XML-RPC的绕过,但CVE-2023-51467揭示了一个根本的身份验证缺陷,使得即使没有XML-RPC也能实现绕过。本质上,CVE-2023-51467代表了根本原因,它通过XML-RPC导致了CVE-2023-49070中的绕过。移除XML-RPC缓解了第一个漏洞,但核心问题直到后来才被修复。
受影响版本
在修补之前,从18.12分支开始的所有Apache OFBiz版本(即18.12.x及更早版本)都受到这些漏洞的影响。具体来说:
-
CVE-2023-49070
- 影响所有低于 18.12.10 的版本
- 在 Apache OFBiz 18.12.10 中修复
-
CVE-2023-51467
- 影响所有低于 18.12.11 的版本,包括已包含先前XML-RPC修复的 18.12.10
- 在 Apache OFBiz 18.12.11 中修复
因此,任何运行以下版本实例的组织:
- 18.12.00 到 18.12.09
- 18.12.10(不易受CVE-2023-49070影响,但仍受CVE-2023-51467影响)
在升级之前,都面临着严重的认证绕过风险。所有低于18.12分支的版本也可能易受攻击,建议在测试后升级到18.12.11。
总结
考虑到Apache OFBiz平台带来的巨大风险,近期披露的严重认证漏洞需要使用该平台的公司立即关注并进行修补。虽然升级像ERP这样的企业软件需要规划和投入,但让系统暴露在所有登录检查都能被绕过的风险下是极其鲁莽的。在披露后的几天内,威胁行为者可能已经开发出利用工具包,使数千家集成了Apache OFBiz的组织的数据和基础设施面临风险。
SonicWall Capture Labs的研究人员通过协同披露所展现的责任感,以及Apache OFBiz团队在发布修补版本方面的紧迫性,最大限度地减少了暴露期。从您自身而言,应用概述的升级程序和其他安全控制措施可以进一步降低引入的风险。
在当今软件供应链时代,我们的代码管道高度互联,集成平台中的漏洞会在众多终端中建立后门。因此,主动保持所有组件的升级变得至关重要。特别是对于在JIRA等技术的Apache OFBiz用户来说,除非立即修补,否则尽管有防火墙和网络安全等防护措施,您有漏洞的认证机制也可能意味着您的服务器和数据已经被入侵。不要因为未升级到修复版本而导致这种情况发生。
在迁移过程中,请借此机会建立软件升级流程和策略,以便将来也能更快地缓解风险。随着网络攻击的增加,通过更新和测试来消除像认证绕过这样的基本漏洞,有助于降低您的风险面。
我们希望这篇文章能帮助您了解如何修复Apache OFBiz中的认证绕过漏洞(CVE-2023-49070 和 CVE-2023-51467)。请分享这篇文章,共同帮助维护数字世界的安全。FINISHED
CSD0tFqvECLokhw9aBeRqjfxZ4PrBeJ32jg1EUzPRKPz0X+wUOXCaXYhP+enIjo0556uO7AtMYkcIsQLDnxgnGDlT6NR1nntLwc5lB3SV+8uty+7iDMjVEJdQSEZD5ShTuI5gwDNfJZ2nO5dPkjpsU2DWvQG0ycKW32WXU0fxKe/2ESbrp4CX2WhZMlkntW1
