Détection d’Exploitation CVE-2023-49070 : Une Vulnérabilité RCE Pré-Auth Critique dans Apache OFBiz
Table des matières :
Les vulnérabilités critiques dans les logiciels open-source populaires posent de graves menaces aux entreprises mondiales qui dépendent des produits concernés. Récemment, une autre faille de sécurité critique a été identifiée dans Apache OFBiz, un système de planification des ressources d’entreprise open-source principalement utilisé par les grandes entreprises de plus de 10 000 employés. La faille découverte est une vulnérabilité pré-auth suivie sous le nom de CVE-2023-49070 qui permet aux attaquants de réaliser des RCE sur les systèmes compromis.
Détecter les tentatives d’exploitation de CVE-2023-49070
L’exploitation proactive des vulnérabilités reste l’un des besoins de contenu de détection les plus prédominants, qui résonne avec le rythme dynamique du paysage des menaces. La plateforme SOC Prime a publié une nouvelle règle Sigma pour aider les défenseurs à détecter les tentatives d’exploitation d’une vulnérabilité RCE pré-auth récemment découverte dans les installations d’Apache OFBiz.
La règle traite de la tactique d’accès initial et de la technique Exploit Public-Facing Application (T1190) selon MITRE ATT&CK® et est compatible avec plus de 20 plateformes d’analyse de sécurité.
L’algorithme de détection est rédigé par notre développeur Threat Bounty passionné, Wirapong Petshagun. Les experts débutants et expérimentés ayant un talent pour la cybersécurité peuvent rejoindre notre Programme Bounty de Menaces pour contribuer au développement de contenu participatif en partageant leurs éléments de contenu de détection avec leurs pairs de l’industrie et en ayant l’opportunité de monétiser leurs compétences en ingénierie de détection.
Restez en avance sur les adversaires avec un accès instantané à plus de 1 000 règles vérifiées et requêtes de chasse pour la détection de CVE. Cliquez sur Explorer les Détections pour plonger dans l’ensemble de la pile de détection avec le contexte complet de la menace à portée de main, y compris les métadonnées pertinentes.
Analyse de CVE-2023-49070
Le logiciel open-source Apache OFBiz a récemment rencontré un bug de sécurité critique suivi sous le nom de CVE-2023-49070 qui peut potentiellement conduire à une RCE en permettant aux attaquants non authentifiés d’injecter du code malveillant dans des applications vulnérables. Cela donne aux adversaires le feu vert pour prendre le contrôle total du serveur, leur permettant de voler des données sensibles, de perturber les opérations, ou potentiellement de lancer d’autres attaques. En raison des risques sévères que la vulnérabilité pose aux systèmes impactés, elle est classée 9,8 sur l’échelle CVSS. tracked as CVE-2023-49070 that can potentially lead to RCE by allowing unauthenticated attackers to inject malicious code into vulnerable applications. This gives adversaries the green light to gain full control over the server, enabling them to steal sensitive data, disrupt operations, or potentially launch further attacks. Due to the severe risks, the vulnerability poses to impacted systems, it ranks 9.8 on the CVSS score.
L’exploitation réussie de CVE-2023-49070 permet aux adversaires d’exécuter du code arbitraire sur le serveur Apache OFBiz impacté sans nécessiter d’authentification préalable.
La faille de sécurité affecte les versions d’Apache OFBiz antérieures à Apache OFBiz avant la version 18.12.10. CVE-2023-49070 provient de l’existence d’un composant XML-RPC obsolète dans Apache OFBiz, qui n’est plus activement maintenu.
La faille de sécurité a été découverte par le chercheur en sécurité Siebene qui a également rédigé et publié son code d’exploitation PoC. Pour atténuer les risques posés par les tentatives d’exploitation de CVE-2023-49070, il est essentiel pour les organisations utilisant Apache OFBiz d’installer rapidement les correctifs de sécurité et les mises à jour requises couverts dans la version 18.12.10 du logiciel. De plus, la mise en œuvre de mesures de sécurité appropriées, telles que la validation des entrées et le codage des sorties, peut aider à prévenir les attaques d’injection de code et renforcer la posture globale de cybersécurité.
Avec les risques potentiels de l’exploitation de CVE-2023-49070 dans des attaques du monde réel, les défenseurs cherchent des moyens d’améliorer leur résilience informatique pour se défendre de manière proactive contre les intrusions. Tirer parti des algorithmes de détection de Threat Detection Marketplace aide les organisations, quel que soit leur secteur industriel et leur pile technologique utilisée, à identifier l’activité des adversaires et à contrecarrer efficacement les attaques utilisant des vulnérabilités connues, des zero-days, ou d’autres menaces critiques qui défient l’entreprise.
