Το Apache ERP Zero-Day υπογραμμίζει τους κινδύνους των ημιτελών ενημερώσεων κώδικα

Άγνωστες ομάδες έχουν ξεκινήσει έρευνες ενάντια σε μια ευπάθεια zero-day που εντοπίστηκε στο πλαίσιο προγραμματισμού πόρων επιχειρήσεων (ERP) του Apache OfBiz — μια ολοένα και πιο δημοφιλής στρατηγική ανάλυσης ενημερώσεων κώδικα για τρόπους παράκαμψης επιδιορθώσεων λογισμικού.

Η ευπάθεια 0 ημερών (CVE-2023-51467) στο Apache OFBiz, που αποκαλύφθηκε στις 26 Δεκεμβρίου, επιτρέπει σε έναν εισβολέα να έχει πρόσβαση σε ευαίσθητες πληροφορίες και να εκτελεί εξ αποστάσεως κώδικα έναντι εφαρμογών που χρησιμοποιούν το πλαίσιο ERP, σύμφωνα με ανάλυση της εταιρείας κυβερνοασφάλειας SonicWall. Το Ίδρυμα Λογισμικού Apache είχε αρχικά κυκλοφορήσει μια ενημέρωση κώδικα για ένα σχετικό ζήτημα, το CVE-2023-49070, αλλά η επιδιόρθωση απέτυχε να προστατεύσει από άλλες παραλλαγές της επίθεσης.

Το περιστατικό υπογραμμίζει τη στρατηγική των επιτιθέμενων να ελέγχουν τυχόν ενημερώσεις κώδικα που κυκλοφορούν για ευπάθειες υψηλής αξίας - προσπάθειες που συχνά καταλήγουν στην εύρεση τρόπων για επιδιορθώσεις λογισμικού, λέει ο Douglas McKee, εκτελεστικός διευθυντής έρευνας απειλών στη SonicWall.

«Από τη στιγμή που κάποιος έχει κάνει τη σκληρή δουλειά να πει, "Ω, υπάρχει μια ευπάθεια εδώ", τώρα μια ολόκληρη ομάδα ερευνητών ή ηθοποιών απειλών μπορούν να κοιτάξουν σε αυτό το στενό σημείο και έχετε ανοίξει τον εαυτό σας σε πολύ περισσότερο έλεγχο ," αυτος λεει. "Έχετε τραβήξει την προσοχή σε αυτή την περιοχή κώδικα και αν το έμπλαστρο δεν είναι σταθερό ή κάτι χάθηκε, είναι πιο πιθανό να βρεθεί επειδή το προσέχετε περισσότερο."

Ο ερευνητής του SonicWall, Hasib Vhora, ανέλυσε την ενημερωμένη έκδοση κώδικα της 5ης Δεκεμβρίου και ανακάλυψε πρόσθετους τρόπους εκμετάλλευσης του ζητήματος, τους οποίους η εταιρεία ανέφερε στο Ίδρυμα Λογισμικού Apache στις 14 Δεκεμβρίου. 

"Μας κίνησε το ενδιαφέρον ο επιλεγμένος μετριασμός κατά την ανάλυση της ενημερωμένης έκδοσης κώδικα για το CVE-2023-49070 και υποψιαζόμασταν ότι η πραγματική παράκαμψη ελέγχου ταυτότητας θα εξακολουθούσε να υπάρχει καθώς η ενημερωμένη έκδοση κώδικα απλώς αφαίρεσε τον κώδικα XML RPC από την εφαρμογή," Vhora αναφέρεται σε ανάλυση του θέματος. "Ως αποτέλεσμα, αποφασίσαμε να ψάξουμε στον κώδικα για να καταλάβουμε τη βασική αιτία του προβλήματος εξουσιοδότησης παράκαμψης."

Οι επιθέσεις στόχευαν την ευπάθεια του Apache OfBiz πριν από την αποκάλυψή του στις 26 Δεκεμβρίου. Πηγή: Sonicwall

Μέχρι τις 21 Δεκεμβρίου, πέντε ημέρες πριν από τη δημοσιοποίηση του ζητήματος, η SonicWall είχε ήδη εντοπίσει απόπειρες εκμετάλλευσης για το ζήτημα. 

Patch Imperfect

Ο Apache δεν είναι ο μόνος που κυκλοφόρησε ένα patch που οι επιτιθέμενοι κατάφεραν να παρακάμψουν. Σύμφωνα με το δεδομένα που κυκλοφόρησαν από την Ομάδα Ανάλυσης Απειλών (TAG) της Google. Μέχρι το 2022, 17 από τις 41 ευπάθειες που δέχθηκαν επίθεση από zero-day exploits (41%) ήταν παραλλαγές σε ζητήματα που είχαν επιδιορθωθεί στο παρελθόν, σύμφωνα με την Google αναφέρεται σε επικαιροποιημένη ανάλυση.

Οι λόγοι για τους οποίους οι εταιρείες αποτυγχάνουν να επιδιορθώσουν πλήρως ένα ζήτημα είναι πολλοί, από τη μη κατανόηση της βασικής αιτίας του προβλήματος μέχρι την αντιμετώπιση τεράστιων εκκρεμοτήτων ευπάθειας λογισμικού έως την προτεραιότητα μιας άμεσης ενημέρωσης κώδικα έναντι μιας ολοκληρωμένης επιδιόρθωσης, λέει ο Jared Semrau, ανώτερος διευθυντής του Google Mandiant. ομάδα ευπάθειας και εκμετάλλευσης. 

«Δεν υπάρχει απλή, ενιαία απάντηση στο γιατί συμβαίνει αυτό», λέει. «Υπάρχουν αρκετοί παράγοντες που μπορούν να συμβάλουν σε [ένα ατελές patch], αλλά [οι ερευνητές της SonicWall] έχουν απόλυτο δίκιο — πολλές φορές οι εταιρείες απλώς διορθώνουν τον γνωστό φορέα επίθεσης».

Η Google αναμένει ότι το μερίδιο των exploits zero-day που στοχεύουν ατελώς διορθωμένες ευπάθειες θα παραμείνει σημαντικός παράγοντας. Από την σκοπιά του εισβολέα, η εύρεση ευπαθειών σε μια εφαρμογή είναι δύσκολη, επειδή οι ερευνητές και οι φορείς απειλών πρέπει να κοιτάξουν μέσα από 100,000 ή εκατομμύρια γραμμές κώδικα. Εστιάζοντας σε πολλά υποσχόμενα τρωτά σημεία που μπορεί να μην έχουν επιδιορθωθεί σωστά, οι εισβολείς μπορούν να συνεχίσουν να επιτίθενται σε ένα γνωστό αδύνατο σημείο αντί να ξεκινούν από το μηδέν.

Ένας τρόπος γύρω από τη Διόρθωση OfBiz

Από πολλές απόψεις, αυτό συνέβη με την ευπάθεια του Apache OfBiz. Η αρχική αναφορά περιέγραφε δύο προβλήματα: ένα ελάττωμα RCE που απαιτούσε πρόσβαση στη διεπαφή XML-RPC (CVE-2023-49070) και ένα πρόβλημα παράκαμψης ελέγχου ταυτότητας που παρείχε αυτήν την πρόσβαση σε μη αξιόπιστους εισβολείς. Το Ίδρυμα Λογισμικού Apache πίστευε ότι η κατάργηση του τελικού σημείου XML-RPC θα αποτρέψει την εκμετάλλευση και των δύο ζητημάτων, η ομάδα απόκρισης ασφαλείας ASF είπε μια απάντηση σε ερωτήσεις από το Dark Reading.

«Δυστυχώς παραλείψαμε ότι η ίδια παράκαμψη ελέγχου ταυτότητας επηρέασε και άλλα τελικά σημεία, όχι μόνο το XML-RPC», είπε η ομάδα. «Μόλις ενημερωθήκαμε, το δεύτερο patch εκδόθηκε μέσα σε λίγες ώρες».

Η ευπάθεια, η οποία παρακολουθείται από τον Apache ως OFBIZ-12873, «επιτρέπει στους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας για να επιτύχουν μια απλή πλαστογράφηση αιτημάτων από την πλευρά του διακομιστή (SSRF)», ο Deepak Dixit, μέλος του Apache Software Foundation, αναφέρεται στη λίστα αλληλογραφίας του Openwall. Έδωσε πιστώσεις στον ερευνητή απειλών SonicWall Hasib Vhora και σε δύο άλλους ερευνητές — τον Gao Tian και τον L0ne1y — την εύρεση του προβλήματος.

Επειδή το OfBiz είναι ένα πλαίσιο, και επομένως μέρος της αλυσίδας εφοδιασμού λογισμικού, ο αντίκτυπος της ευπάθειας θα μπορούσε να είναι ευρέως διαδεδομένος. Το δημοφιλές έργο Atlassian Jira και το λογισμικό παρακολούθησης ζητημάτων, για παράδειγμα, χρησιμοποιεί τη βιβλιοθήκη OfBiz, αλλά το εάν το exploit θα μπορούσε να εκτελεστεί με επιτυχία στην πλατφόρμα είναι ακόμα άγνωστο, λέει ο McKee της Sonicwall.

«Θα εξαρτηθεί από τον τρόπο με τον οποίο κάθε εταιρεία αρχιτέκτονα το δίκτυό της, από τον τρόπο που διαμορφώνει το λογισμικό», λέει. «Θα έλεγα ότι μια τυπική υποδομή δεν θα είχε αυτό το Διαδίκτυο, ότι θα απαιτούσε κάποιο είδος VPN ή εσωτερική πρόσβαση».

Σε κάθε περίπτωση, οι εταιρείες θα πρέπει να λάβουν μέτρα και να επιδιορθώσουν τυχόν εφαρμογές που είναι γνωστό ότι χρησιμοποιούν το OfBiz στην πιο πρόσφατη έκδοση, δήλωσε η ομάδα απόκρισης ασφαλείας της ASF. 

«Η σύστασή μας για τις εταιρείες που χρησιμοποιούν το Apache OFBiz είναι να ακολουθούν τις βέλτιστες πρακτικές ασφαλείας, συμπεριλαμβανομένης της παροχής πρόσβασης στα συστήματα μόνο σε εκείνους τους χρήστες που το χρειάζονται, να φροντίζουν να ενημερώνουν τακτικά το λογισμικό σας και να διασφαλίζουν ότι είστε καλά εξοπλισμένοι για να ανταποκρίνεστε σε περίπτωση ασφάλειας δημοσιεύεται συμβουλευτική», είπαν.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches