首頁 > 安全研究 > 安全通報 > 安全事件響應

Apache OFBiz 遠程代碼執行漏洞來襲,啟明星辰提供解決方案

發布時間 2024-09-08

ApacheOFBiz是一個電子商務平臺,用于構建大中型企業級、跨平臺、跨數據庫、跨應用服務器的多層、分布式電子商務類應用系統。2024年9月,官方發布新版本修復了CVE-2024-45195 Apache OFBiz 遠程代碼執行漏洞,攻擊者可構造惡意請求控制服務器,建議盡快修復漏洞。


漏洞詳情


2024年9月6日,啟明星辰監控到Apache OFBIZ官方發布了CVE-2024-45195 Apache OFBiz 遠程代碼執行漏洞。


該漏洞的原因是Apache OFBiz 權限檢查不徹底導致某些視圖仍可繞過權限校驗,遠程攻擊者可通過控制請求從而寫入惡意文件獲取服務器權限。


圖片1.png


漏洞復現


圖片2.png


修復建議


一、官方修復方案


目前官方已有可更新版本,建議受影響用戶升級至最新版本:

Apache OFBiz >= 18.12.16

官方下載地址:

https://ofbiz.apache.org/download.html


二、啟明星辰解決方案


1、啟明星辰檢測類產品方案


 天闐入侵檢測與管理系統、天闐超融合檢測探針(CSP)、天闐威脅分析一體機(TAR)、天清入侵防御系統(IPS)、天清Web應用安全網關(WAF)升級到當前最新版本即可有效檢測或防護該漏洞造成的攻擊風險。


2、啟明星辰終端產品方案


天珣終端安全一體化(EDR)支持自定義web資產匹配篩選出存在漏洞的Apache OFBiz資產,可實時監控分析漏洞利用產生的webshell,實時告警異常子父進程。


3、啟明星辰漏掃產品方案


(1)“啟明星辰漏洞掃描系統V6.0”產品已支持對該漏洞進行掃描。


圖片3.png


(2)啟明星辰漏洞掃描系統608X系列版本已支持對該漏洞進行掃描。


圖片4.png


3、啟明星辰資產與脆弱性管理平臺(ASM)產品方案


啟明星辰資產與脆弱性管理平臺實時采集并更新情報信息,對入庫資產漏洞Apache OFBiz 遠程代碼執行漏洞(CVE-2024-45195)進行管理。


圖片5.png


4、啟明星辰安全管理和態勢感知平臺產品方案


廣大用戶可以通過泰合安全管理和態勢感知平臺,進行關聯策略配置,結合實際環境中系統日志和安全設備的告警信息進行持續監控,從而發現“Apache OFBiz 遠程代碼執行漏洞”的漏洞利用攻擊行為。


(1)在泰合的平臺中,通過脆弱性發現功能針對“Apache OFB(iz 遠程代碼執行漏洞”漏洞掃描任務,排查管理網絡中受此漏洞影響的重要資產。


圖片6.png


(2)平臺“關聯分析”模塊中,添加“L2_Apache OFBiz 遠程代碼執行漏洞”,通過啟明星辰檢測設備、目標主機系統等設備的告警日志,發現外部攻擊行為。


圖片7.png


(3)添加“L3_Apache OFBiz 遠程代碼執行漏洞”,條件日志名稱等于或包含“L2_Apache OFBiz 遠程代碼執行漏洞”,攻擊結果等于“攻擊成功”,目的地址引用資產漏洞或源地址匹配威脅情報,從而提升關聯規則的置信度。


圖片8.png


(4)ATT&CK攻擊鏈條分析與SOAR處置建議


根據對CVE-2024-45195漏洞的攻擊利用過程進行分析,攻擊鏈涉及多個ATT&CK戰術和技術階段,覆蓋的TTP包括:


TA0001初始訪問:T1190利用面向公眾的應用程序

TA0002執行:T1059命令和腳本解釋器

TA0004權限提升:T1068利用權限提升


圖片9.png


通過泰合安全管理和態勢感知平臺內置SOAR自動化或半自動化編排聯動響應處置能力,針對該漏洞利用的告警事件編排劇本,進行自動化處置。

上一篇 下一篇