Ukendte grupper har lanceret undersøgelser mod en nul-dages sårbarhed identificeret i Apaches OfBiz Enterprise Resource Planning (ERP) framework - en stadig mere populær strategi til at analysere patches for måder at omgå softwarerettelser på.
0-dages sårbarhed (CVE-2023-51467) i Apache OFBiz, afsløret den 26. december, giver en hacker mulighed for at få adgang til følsom information og eksternt eksekvere kode mod applikationer ved hjælp af ERP-rammerne, ifølge en analyse fra cybersikkerhedsfirmaet SonicWall. Apache Software Foundation havde oprindeligt udgivet en patch til et relateret problem, CVE-2023-49070, men rettelsen kunne ikke beskytte mod andre variationer af angrebet.
Hændelsen fremhæver angribernes strategi med at undersøge eventuelle patches, der er udgivet for sårbarheder af høj værdi - indsatser, der ofte resulterer i at finde måder at omgå softwarerettelser på, siger Douglas McKee, administrerende direktør for trusselsforskning hos SonicWall.
"Når nogen har gjort det hårde arbejde med at sige, 'Åh, der findes en sårbarhed her', nu kan en hel flok forskere eller trusselsaktører se på det ene snævre sted, og du har på en måde åbnet dig selv for meget mere granskning ," han siger. "Du har henledt opmærksomheden på det kodeområde, og hvis din patch ikke er stensikker, eller noget blev savnet, er det mere sandsynligt, at det bliver fundet, fordi du har ekstra øjne på det."
SonicWall-forsker Hasib Vhora analyserede patchen den 5. december og opdagede yderligere måder at udnytte problemet på, som virksomheden rapporterede til Apache Software Foundation den 14. december.
"Vi var fascineret af den valgte afhjælpning, da vi analyserede patchen til CVE-2023-49070 og havde mistanke om, at den reelle autentificeringsomledning stadig ville være til stede, da patchen simpelthen fjernede XML RPC-koden fra applikationen," Vhora oplyst i en analyse af problemstillingen. "Som et resultat besluttede vi at grave i koden for at finde ud af årsagen til godkendelses-bypass-problemet."
Angreb var rettet mod Apache OfBiz-sårbarheden før dens offentliggørelse den 26. december. Kilde: Sonicwall
Den 21. december, fem dage før problemet blev offentliggjort, havde SonicWall allerede identificeret forsøg på udnyttelse af problemet.
Patch ufuldkommen
Apache er ikke alene om at frigive en patch, som angribere har formået at omgå. I 2020 var seks ud af de 24 sårbarheder (25%), der blev angrebet ved hjælp af nul-dages udnyttelse, variationer af tidligere patchede sikkerhedsproblemer, ifølge data udgivet af Googles Threat Analysis Group (TAG). I 2022 var 17 af de 41 sårbarheder angrebet af zero-day exploits (41 %) varianter af tidligere patchede problemer, Google oplyst i en opdateret analyse.
Årsagerne til, at virksomheder undlader at rette et problem fuldstændigt, er talrige, fra ikke at forstå årsagen til problemet til at håndtere enorme efterslæb af softwaresårbarheder til at prioritere en øjeblikkelig patch frem for en omfattende rettelse, siger Jared Semrau, en senior manager hos Google Mandiant's. sårbarheds- og udnyttelsesgruppe.
"Der er ikke noget enkelt, enkelt svar på, hvorfor dette sker," siger han. "Der er flere faktorer, der kan bidrage til [en ufuldstændig patch], men [SonicWall-forskere] har helt ret - mange gange retter virksomheder bare den kendte angrebsvektor."
Google forventer, at andelen af nul-dages udnyttelser, der retter sig mod ufuldstændigt rettet sårbarheder, forbliver en væsentlig faktor. Fra angriberperspektivet er det svært at finde sårbarheder i en applikation, fordi forskere og trusselsaktører skal kigge igennem 100,000 eller millioner af kodelinjer. Ved at fokusere på lovende sårbarheder, der måske ikke er blevet rettet ordentligt, kan angribere fortsætte med at angribe et kendt svagt punkt i stedet for at starte fra bunden.
En vej uden om Biz Fix
På mange måder er det, hvad der skete med Apache OfBiz-sårbarheden. Den originale rapport beskrev to problemer: en RCE-fejl, der krævede adgang til XML-RPC-grænsefladen (CVE-2023-49070) og et problem med godkendelsesomgåelse, der gav upålidelige angribere denne adgang. Apache Software Foundation mente, at fjernelse af XML-RPC-slutpunktet ville forhindre begge problemer i at blive udnyttet, sagde ASF-sikkerhedsresponsteamet et svar på spørgsmål fra Dark Reading.
"Desværre gik vi glip af, at den samme autentificeringsomgåelse også påvirkede andre endepunkter, ikke kun XML-RPC-en," sagde teamet. "Da vi blev gjort opmærksomme, blev det andet plaster udstedt inden for få timer."
Sårbarheden, der spores af Apache som OFBIZ-12873, "giver angribere mulighed for at omgå godkendelse for at opnå en simpel Server-Side Request Forgery (SSRF)," Deepak Dixit, medlem af Apache Software Foundation, angivet på Openwall-mailinglisten. Han krediterede SonicWall-trusselsforsker Hasib Vhora og to andre forskere - Gao Tian og L0ne1y - for at finde problemet.
Fordi OfBiz er en ramme og dermed en del af softwareforsyningskæden, kan virkningen af sårbarheden være udbredt. Det populære Atlassian Jira-projekt og problemsporingssoftware bruger for eksempel OfBiz-biblioteket, men om udnyttelsen kunne udføres med succes på platformen er stadig ukendt, siger Sonicwalls McKee.
"Det kommer til at afhænge af den måde, hver virksomhed opbygger deres netværk på, i måden de konfigurerer softwaren på," siger han. "Jeg vil sige, at en typisk infrastruktur ikke ville have denne internetvendt, at den ville kræve en form for VPN eller intern adgang."
Under alle omstændigheder bør virksomheder tage skridt og lappe alle applikationer, der vides at bruge OfBiz til den nyeste version, sagde ASF's sikkerhedsresponsteam.
"Vores anbefaling til virksomheder, der bruger Apache OFBiz, er at følge bedste sikkerhedspraksis, herunder kun at give adgang til systemer til de brugere, der har brug for det, sørge for regelmæssigt at opdatere din software og sørge for, at du er godt rustet til at reagere, når en sikkerhed rådgivning er offentliggjort,” sagde de.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches
- :er
- :ikke
- $OP
- 100
- 14
- 17
- 2020
- 2022
- 24
- 26 %
- 41
- 7
- a
- absolut
- adgang
- Ifølge
- opnå
- aktører
- Yderligere
- rådgivende
- påvirket
- mod
- tillader
- alene
- allerede
- også
- an
- analyse
- analyseret
- analysere
- ,
- besvare
- enhver
- Apache
- Anvendelse
- applikationer
- arkitekter
- ER
- OMRÅDE
- omkring
- AS
- ASF
- At
- angribe
- Forsøg på
- opmærksomhed
- Godkendelse
- opmærksom på
- BE
- fordi
- været
- før
- være
- troede
- BEDSTE
- bedste praksis
- både
- Bunch
- men
- by
- bypass
- CAN
- Årsag
- kæde
- Chart
- valgt
- kode
- Virksomheder
- selskab
- omfattende
- fortsæt
- bidrage
- kunne
- Cybersecurity
- farer
- mørk
- Mørk læsning
- Dage
- beskæftiger
- december
- besluttede
- Deepak
- afhænge
- beskrevet
- svært
- DIG
- Direktør
- videregivelse
- opdaget
- færdig
- douglas
- trukket
- hver
- indsats
- Endpoint
- Enterprise
- ERP
- begivenhed
- eksempel
- udføre
- udøvende
- Administrerende direktør
- eksisterer
- forventer
- Exploit
- udnyttelse
- Exploited
- exploits
- ekstra
- Øjne
- faktor
- faktorer
- FAIL
- mislykkedes
- Figur
- finde
- Firm
- fem
- Fix
- fast
- fejl
- fokusering
- følger
- Til
- forfalskning
- fundet
- Foundation
- Framework
- fra
- fuldt ud
- GAO
- Give
- gå
- gruppe
- Gruppens
- havde
- skete
- sker
- Hård Ost
- hårdt arbejde
- Have
- he
- link.
- højdepunkter
- HOURS
- HTML
- HTTPS
- kæmpe
- i
- identificeret
- if
- billede
- umiddelbar
- KIMOs Succeshistorier
- in
- hændelse
- Herunder
- stigende
- oplysninger
- Infrastruktur
- grænseflade
- interne
- ind
- isn
- spørgsmål
- Udstedt
- spørgsmål
- IT
- ITS
- jpg
- lige
- Venlig
- kendt
- seneste
- lanceret
- Bibliotek
- Sandsynlig
- linjer
- Se
- Lot
- lavet
- mailing
- Making
- lykkedes
- leder
- mange
- Kan..
- medlem
- millioner
- savnet
- afbødning
- mere
- smal
- Behov
- netværk
- ingen
- nu
- talrige
- of
- tit
- oh
- on
- engang
- ONE
- kun
- åbnet
- or
- original
- oprindeligt
- Andet
- vores
- ud
- i løbet af
- del
- patch
- Patches
- lappe
- perspektiv
- planlægning
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- Populær
- praksis
- præsentere
- forhindre
- tidligere
- Forud
- prioritering
- Problem
- problemer
- projekt
- lovende
- korrekt
- beskytte
- forudsat
- offentlige
- offentliggjort
- Spørgsmål
- hellere
- Læsning
- ægte
- årsager
- Anbefaling
- regelmæssigt
- relaterede
- frigivet
- frigive
- forblive
- fjernadgang
- fjernet
- fjernelse
- indberette
- rapporteret
- anmode
- kræver
- påkrævet
- forskning
- forsker
- forskere
- ressource
- Svar
- svar
- resultere
- højre
- klippe
- rod
- s
- Said
- samme
- siger
- siger
- siger
- ridse
- kontrol
- Anden
- sikkerhed
- senior
- følsom
- flere
- Del
- bør
- signifikant
- Simpelt
- ganske enkelt
- siden
- enkelt
- SIX
- Software
- software forsyningskæde
- solid
- nogle
- Nogen
- noget
- Kilde
- Spot
- starte
- Steps
- Stadig
- Strategi
- Succesfuld
- forsyne
- forsyningskæde
- sikker
- Systemer
- TAG
- Tag
- mål
- målrettet
- hold
- end
- at
- deres
- Der.
- de
- denne
- dem
- trussel
- trusselsaktører
- Gennem
- Dermed
- gange
- til
- to
- typen
- typisk
- understregninger
- forståelse
- desværre
- ukendt
- Opdatering
- opdateret
- brug
- brugere
- bruger
- ved brug af
- Ve
- udgave
- VPN
- Sårbarheder
- sårbarhed
- var
- Vej..
- måder
- we
- svag
- var
- Hvad
- hvornår
- hvorvidt
- som
- Hele
- hvorfor
- udbredt
- med
- inden for
- Arbejde
- ville
- XML
- Du
- Din
- dig selv
- zephyrnet
