Apache OFBiz ERP 漏洞为基于内存的攻击打开了大门

　　VulnCheck 的专家开发了一种概念验证 (PoC) 代码，该代码利用 Apache OFBiz 企业资源规划 (ERP) 系统中最近发现的关键漏洞在内存中执行恶意代码。

　　该漏洞被指定为 CVE-2023-51467，CVSS 分数为 9.8，是一种身份验证绕过错误，允许攻击者在远程设备上执行任意代码并访问机密信息。此缺陷还规避了同一软件中的另一个关键缺陷(CVE-2023-49070，CVSS 评分：9.8)。

　　尽管该漏洞在 12 月发布的 Apache OFBiz 版本 18.12.11 中得到了纠正，但网络犯罪分子仍试图通过针对易受攻击的软件实例来利用它。根据 VulnCheck 的说法，可以利用 CVE-2023-51467 直接从内存启动恶意软件，留下最少的违规痕迹。

　　尽管 Apache 的集成安全机制(例如 Groovy 沙盒)阻止了通过此端点上传 Web shell 或执行 Java 代码的尝试，但沙盒的不充分实现意味着攻击者可以在 Linux 系统上执行 curl 命令并获得反向 bash shell。但是，对于老练的攻击者来说，此类有效负载并不理想，因为它们会影响磁盘并依赖于特定于 Linux 的功能。

　　VulnCheck 的 PoC 漏洞基于 Go，是一种跨平台解决方案，适用于 Windows 和 Linux。PoC 通过使用 groovy.util.Eval 函数在内存中启动 Nashorn 反向 shell 作为有效负载来绕过黑名单。

　　尽管 CVE-2023-51467 引起了极大的关注，但缺乏公开可用的恶意有效载荷引发了对其可利用性的质疑。VulnCheck专家得出结论，利用该漏洞不仅可行，而且还允许在内存中执行任意代码。