Rilevamento dello sfruttamento di CVE-2023-49070: una vulnerabilità RCE Pre-Auth critica in Apache OFBiz
Indice:
Le vulnerabilità critiche nelle soluzioni software open-source popolari rappresentano gravi minacce per le aziende globali che dipendono dai prodotti interessati. Recentemente, è stato identificato un altro difetto di sicurezza critico in Apache OFBiz, un sistema di pianificazione delle risorse aziendali open-source usato principalmente da grandi aziende con oltre 10.000 dipendenti. Il difetto scoperto è una vulnerabilità pre-autenticazione tracciata come CVE-2023-49070 che consente agli attaccanti di eseguire codice remoto (RCE) sui sistemi compromessi.
Rilevare Tentativi di Sfruttamento di CVE-2023-49070
Lo sfruttamento proattivo delle vulnerabilità rimane uno dei bisogni di contenuti di rilevamento più prevalenti, che risuona con il ritmo dinamico del panorama delle minacce. La piattaforma SOC Prime ha rilasciato una nuova regola Sigma per aiutare i difensori a rilevare i tentativi di sfruttamento di una vulnerabilità RCE pre-autenticazione recentemente scoperta nelle installazioni di Apache OFBiz.
La regola affronta la tattica di Accesso Iniziale insieme alla tecnica Exploit Public-Facing Application (T1190) come da MITRE ATT&CK® ed è compatibile con oltre 20 piattaforme di analisi della sicurezza.
L’algoritmo di rilevamento è stato scritto dal nostro esperto sviluppatore Threat Bounty, Wirapong Petshagun. Esperti aspiranti e affermati con una passione per la cybersecurity possono unirsi al nostro Programma Threat Bounty per contribuire allo sviluppo di contenuti crowdsource condividendo le loro conoscenze sui contenuti di rilevamento con i colleghi del settore e guadagnando un’opportunità per monetizzare le loro competenze in ingegneria del rilevamento.
Rimani un passo avanti rispetto agli avversari con accesso istantaneo a oltre 1.000 regole verificate e query di hunting per il rilevamento delle CVE. Clicca Esplora Rilevamenti per approfondire l’intera pila di rilevamenti con il contesto completo delle minacce a portata di mano, inclusi i metadati rilevanti.
Analisi di CVE-2023-49070
Il software open-source Apache OFBiz ha affrontato recentemente un grave bug di sicurezza tracciato come CVE-2023-49070 che può potenzialmente portare a RCE permettendo agli attaccanti non autenticati di iniettare codice malevolo nelle applicazioni vulnerabili. Questo dà agli avversari il via libera per ottenere il controllo completo sul server, consentendo loro di rubare dati sensibili, interrompere le operazioni o potenzialmente lanciare ulteriori attacchi. A causa dei gravi rischi che la vulnerabilità rappresenta per i sistemi interessati, ottiene un punteggio di 9.8 nella scala CVSS.
Il successo dello sfruttamento di CVE-2023-49070 permette agli avversari di eseguire codice arbitrario sul server Apache OFBiz interessato senza la necessità di autenticazione preventiva.
Il difetto di sicurezza interessa le versioni di Apache OFBiz precedenti alla versione 18.12.10. CVE-2023-49070 deriva dall’esistenza di un componente XML-RPC deprecato all’interno di Apache OFBiz, che non è più mantenuto attivamente.
Il difetto di sicurezza è stato scoperto dal ricercatore di sicurezza Siebene che ha anche scritto e rilasciato il suo codice PoC di sfruttamento. Per mitigare i rischi posti dai tentativi di sfruttamento di CVE-2023-49070, è essenziale per le organizzazioni che utilizzano Apache OFBiz installare tempestivamente le patch di sicurezza richieste e gli aggiornamenti coperti nella versione software 18.12.10. Inoltre, implementare misure di sicurezza adeguate, come la validazione degli input e la codifica degli output, può aiutare a prevenire attacchi di iniezione di codice e migliorare la postura generale della cybersecurity.
Con i potenziali rischi dello sfruttamento di CVE-2023-49070 negli attacchi nel mondo reale, i difensori stanno cercando modi per migliorare la loro resilienza cyber per difendersi proattivamente dalle intrusioni. Sfruttare algoritmi di rilevamento da Threat Detection Marketplace aiuta le organizzazioni, indipendentemente dal loro settore industriale e stack tecnologico in uso, a identificare l’attività degli avversari e a contrastare efficacemente gli attacchi che utilizzano vulnerabilità conosciute, zero-day, o altre minacce critiche che mettono alla prova il business.
