Исправление критической уязвимости в ERP-системе Apache открыло другую «дыру», не менее опасную

Попытка исправить проблему с обходом авторизации в ERP-системе Apache OfBiz оказалась тщетной: ключевая причина устранена не была, так что обход авторизации оставался тривиальнейшей задачей.

Шило и мыло

Попытка исправить критическую уязвимость в ERP-системе Apache OfBiz привела к появлению другой, также критической.

Ранее в декабре 2023 г. Apache Foundation выпустил патч к «багу» CVE-2023-49070, однако выяснилось, что исправление не устраняло корень проблемы.

CVE-2023-49070 (9,8 балла по шкале CVSS), это уязвимость, которая позволяет осуществлять запуск вредоносного кода до прохождения процедуры авторизации. Как следствие, потенциальные злоумышленники могут получить полный контроль над сервером и выводить значимые данные.

ib_29_12_23_700.jpgФото: Vishnu R Nair / Фотобанк Unsplash Тривиальная, но критическая уязвимость в ERP-системе Apache может повлиять на репутацию компании

Проблема была вызвана присутствием в пакете устаревшего компонента XML-RPC. Уязвимость затрагивала все версии OfBiz до индекса 18.12.10. Внесенное исправление устраняло спорный код, однако, как вскоре выяснилось, это мало чему помогло.

Простым запросом и буквой Y

Новая уязвимость — CVE-2023-51467 — «срабатывает», если в HTML-запросе к серверу параметры USERNAME (имя пользователя) и PASSWORD (пароль) остаются пустыми, а кроме того в запросе выставлен параметр requirePasswordChange со значением «Y» (утвердительно).

Ошибка в коде функции авторизации приводит к тому, что в ответ приходит сообщение об успешной проверке логина и пароля, так что потенциальный злоумышленник получает доступ к внутренним ресурсам сервера.

То же самое, как выяснили эксперты компании Sonicwall Capture Labs, происходит, если задать заведомо некорректные логин и пароль. Если в запросе остается requirePasswordChange=Y, система сообщает об успешном прохождении авторизации.

Ярослав Городецкий, CDNvideo: Мы создаем мост между миром телекома и миром интернет-приложений Интернет

Читать статью  В Россию возвращаются офисы банков. Банковская цифровизация на грани провала. Опрос

В Национальной базе уязвимостей США (NIST) указывается, что CVE-2023-51467 открывает возможность осуществить «простую подмену запроса к серверу» (Server-Side Request Forgery — SSRF).

«Поразительно простая в эксплуатации уязвимость, диковатая уже самим фактом своего появления в продуктах Apache», — считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – По ее словам, еще страннее выглядит тот факт, что она появилась в результате попытки устранить другую, также критическую. «Учитывая, что система OfBiz ориентирована на бизнес, на репутации Apache такой инцидент может оставить заметное пятно», — сказала Анастасия Мельникова.

Уязвимость устраняется обновлением Apache OfBiz до версии 18.12.11.

  • Что лучше — ГЛОНАСС или GPS: главные различия систем навигации

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *