Vulnerabilidad Crítica en Apache OFBiz ERP Expuesta: Ejecución de Código Malicioso en la Mira

En el mundo de la ciberseguridad, la constante carrera entre los expertos en seguridad y los ciberdelincuentes alcanza un nuevo hito con la revelación de una vulnerabilidad crítica en el sistema Apache OFBiz Enterprise Resource Planning (ERP). Los especialistas de VulnCheck han creado un código de prueba de concepto (PoC) que demuestra cómo esta vulnerabilidad, identificada como CVE-2023-51467 con una puntuación CVSS de 9,8, puede ser explotada para ejecutar código malicioso en la memoria.

Búsqueda en Shodan

La vulnerabilidad en cuestión es una omisión de autenticación que permite a un atacante ejecutar código arbitrario en un dispositivo remoto y obtener acceso a información confidencial. Este tipo de vulnerabilidad es especialmente preocupante, ya que puede abrir las puertas a ataques sofisticados y compromisos de seguridad significativos. Es vital destacar que esta vulnerabilidad, con una puntuación CVSS tan elevada, indica la gravedad del problema y la necesidad urgente de acciones correctivas.

Aunque la vulnerabilidad fue abordada en la versión 18.12.11 de Apache OFBiz lanzada en diciembre, la persistencia de intentos de explotación revela que muchos sistemas aún no han aplicado las actualizaciones necesarias. Los atacantes están dirigiendo sus esfuerzos hacia instancias vulnerables de este software de gestión empresarial.

A pesar de que la cantidad de instancias de Apache OFBiz conectadas a Internet, según Shodan, supera las 13,000, es crucial señalar que la mayoría de ellas son señuelos. El número real de sistemas Apache OFBiz es aproximadamente 1,000, ya que el software no es ampliamente adoptado por los clientes.

La gravedad de la situación radica en la capacidad de los atacantes para ejecutar código malicioso directamente desde la memoria, gracias a la vulnerabilidad CVE-2023-51467. Aunque la versión actualizada del software ha corregido esta vulnerabilidad, la explotación se dirige a aquellos que aún no han implementado las medidas de seguridad necesarias.

Uno de los aspectos preocupantes es que los mecanismos de seguridad implementados por Apache, como Groovy Sandbox, no han sido completamente efectivos en bloquear todos los vectores de ataque. A pesar de bloquear intentos de cargar shells web o ejecutar código Java a través de ciertos puntos finales, una implementación deficiente del Sandbox permite a los atacantes ejecutar comandos curl y obtener un shell bash inverso en sistemas Linux. Aunque estas cargas útiles no son ideales para un atacante avanzado, ya que implican espacio en disco y son específicas de Linux, subrayan las debilidades potenciales en la seguridad de Apache OFBiz.

VulnCheck ha ido un paso más allá y ha desarrollado un PoC basado en Go que es multiplataforma, funcionando tanto en entornos Windows como en Linux. Este PoC elude la lista negra mediante el uso de funciones groovy.util.Eval para ejecutar un Reverse Shell de Nashorn en la memoria como carga útil. Este enfoque multiplataforma agrega un nivel adicional de complejidad a la amenaza, ya que no está limitado a un sistema operativo específico.

A pesar de los rumores y la especulación que rodean a CVE-2023-51467, no ha surgido una carga útil maliciosa pública, lo que ha generado dudas sobre su explotabilidad. Sin embargo, los expertos de VulnCheck han llegado a la conclusión de que no solo es posible explotar esta vulnerabilidad, sino que también permite la ejecución de código arbitrario en la memoria, intensificando la gravedad del asunto.

Este descubrimiento destaca la importancia de la ciberseguridad proactiva y la aplicación oportuna de parches y actualizaciones. Las empresas que utilizan Apache OFBiz deben actuar de inmediato para asegurarse de que sus sistemas estén protegidos contra esta amenaza emergente. Además, este incidente subraya la necesidad continua de una mayor conciencia sobre la seguridad cibernética y la colaboración entre la comunidad de seguridad, los desarrolladores de software y las organizaciones para hacer frente a las amenazas en constante evolución. La ciberseguridad es una responsabilidad compartida, y solo a través de la vigilancia constante y la acción proactiva podemos mitigar los riesgos asociados con las vulnerabilidades críticas como CVE-2023-51467.