Άγνωστες ομάδες έχουν ξεκινήσει έρευνες ενάντια σε μια ευπάθεια zero-day που εντοπίστηκε στο πλαίσιο προγραμματισμού πόρων επιχειρήσεων (ERP) του Apache OfBiz — μια ολοένα και πιο δημοφιλής στρατηγική ανάλυσης ενημερώσεων κώδικα για τρόπους παράκαμψης επιδιορθώσεων λογισμικού.
Η ευπάθεια 0 ημερών (CVE-2023-51467) στο Apache OFBiz, που αποκαλύφθηκε στις 26 Δεκεμβρίου, επιτρέπει σε έναν εισβολέα να έχει πρόσβαση σε ευαίσθητες πληροφορίες και να εκτελεί εξ αποστάσεως κώδικα έναντι εφαρμογών που χρησιμοποιούν το πλαίσιο ERP, σύμφωνα με ανάλυση της εταιρείας κυβερνοασφάλειας SonicWall. Το Ίδρυμα Λογισμικού Apache είχε αρχικά κυκλοφορήσει μια ενημέρωση κώδικα για ένα σχετικό ζήτημα, το CVE-2023-49070, αλλά η επιδιόρθωση απέτυχε να προστατεύσει από άλλες παραλλαγές της επίθεσης.
Το περιστατικό υπογραμμίζει τη στρατηγική των επιτιθέμενων να ελέγχουν τυχόν ενημερώσεις κώδικα που κυκλοφορούν για ευπάθειες υψηλής αξίας - προσπάθειες που συχνά καταλήγουν στην εύρεση τρόπων για επιδιορθώσεις λογισμικού, λέει ο Douglas McKee, εκτελεστικός διευθυντής έρευνας απειλών στη SonicWall.
«Από τη στιγμή που κάποιος έχει κάνει τη σκληρή δουλειά να πει, "Ω, υπάρχει μια ευπάθεια εδώ", τώρα μια ολόκληρη ομάδα ερευνητών ή ηθοποιών απειλών μπορούν να κοιτάξουν σε αυτό το στενό σημείο και έχετε ανοίξει τον εαυτό σας σε πολύ περισσότερο έλεγχο ," αυτος λεει. "Έχετε τραβήξει την προσοχή σε αυτή την περιοχή κώδικα και αν το έμπλαστρο δεν είναι σταθερό ή κάτι χάθηκε, είναι πιο πιθανό να βρεθεί επειδή το προσέχετε περισσότερο."
Ο ερευνητής του SonicWall, Hasib Vhora, ανέλυσε την ενημερωμένη έκδοση κώδικα της 5ης Δεκεμβρίου και ανακάλυψε πρόσθετους τρόπους εκμετάλλευσης του ζητήματος, τους οποίους η εταιρεία ανέφερε στο Ίδρυμα Λογισμικού Apache στις 14 Δεκεμβρίου.
"Μας κίνησε το ενδιαφέρον ο επιλεγμένος μετριασμός κατά την ανάλυση της ενημερωμένης έκδοσης κώδικα για το CVE-2023-49070 και υποψιαζόμασταν ότι η πραγματική παράκαμψη ελέγχου ταυτότητας θα εξακολουθούσε να υπάρχει καθώς η ενημερωμένη έκδοση κώδικα απλώς αφαίρεσε τον κώδικα XML RPC από την εφαρμογή," Vhora αναφέρεται σε ανάλυση του θέματος. "Ως αποτέλεσμα, αποφασίσαμε να ψάξουμε στον κώδικα για να καταλάβουμε τη βασική αιτία του προβλήματος εξουσιοδότησης παράκαμψης."
Οι επιθέσεις στόχευαν την ευπάθεια του Apache OfBiz πριν από την αποκάλυψή του στις 26 Δεκεμβρίου. Πηγή: Sonicwall
Μέχρι τις 21 Δεκεμβρίου, πέντε ημέρες πριν από τη δημοσιοποίηση του ζητήματος, η SonicWall είχε ήδη εντοπίσει απόπειρες εκμετάλλευσης για το ζήτημα.
Patch Imperfect
Ο Apache δεν είναι ο μόνος που κυκλοφόρησε ένα patch που οι επιτιθέμενοι κατάφεραν να παρακάμψουν. Σύμφωνα με το δεδομένα που κυκλοφόρησαν από την Ομάδα Ανάλυσης Απειλών (TAG) της Google. Μέχρι το 2022, 17 από τις 41 ευπάθειες που δέχθηκαν επίθεση από zero-day exploits (41%) ήταν παραλλαγές σε ζητήματα που είχαν επιδιορθωθεί στο παρελθόν, σύμφωνα με την Google αναφέρεται σε επικαιροποιημένη ανάλυση.
Οι λόγοι για τους οποίους οι εταιρείες αποτυγχάνουν να επιδιορθώσουν πλήρως ένα ζήτημα είναι πολλοί, από τη μη κατανόηση της βασικής αιτίας του προβλήματος μέχρι την αντιμετώπιση τεράστιων εκκρεμοτήτων ευπάθειας λογισμικού έως την προτεραιότητα μιας άμεσης ενημέρωσης κώδικα έναντι μιας ολοκληρωμένης επιδιόρθωσης, λέει ο Jared Semrau, ανώτερος διευθυντής του Google Mandiant. ομάδα ευπάθειας και εκμετάλλευσης.
«Δεν υπάρχει απλή, ενιαία απάντηση στο γιατί συμβαίνει αυτό», λέει. «Υπάρχουν αρκετοί παράγοντες που μπορούν να συμβάλουν σε [ένα ατελές patch], αλλά [οι ερευνητές της SonicWall] έχουν απόλυτο δίκιο — πολλές φορές οι εταιρείες απλώς διορθώνουν τον γνωστό φορέα επίθεσης».
Η Google αναμένει ότι το μερίδιο των exploits zero-day που στοχεύουν ατελώς διορθωμένες ευπάθειες θα παραμείνει σημαντικός παράγοντας. Από την σκοπιά του εισβολέα, η εύρεση ευπαθειών σε μια εφαρμογή είναι δύσκολη, επειδή οι ερευνητές και οι φορείς απειλών πρέπει να κοιτάξουν μέσα από 100,000 ή εκατομμύρια γραμμές κώδικα. Εστιάζοντας σε πολλά υποσχόμενα τρωτά σημεία που μπορεί να μην έχουν επιδιορθωθεί σωστά, οι εισβολείς μπορούν να συνεχίσουν να επιτίθενται σε ένα γνωστό αδύνατο σημείο αντί να ξεκινούν από το μηδέν.
Ένας τρόπος γύρω από τη Διόρθωση OfBiz
Από πολλές απόψεις, αυτό συνέβη με την ευπάθεια του Apache OfBiz. Η αρχική αναφορά περιέγραφε δύο προβλήματα: ένα ελάττωμα RCE που απαιτούσε πρόσβαση στη διεπαφή XML-RPC (CVE-2023-49070) και ένα πρόβλημα παράκαμψης ελέγχου ταυτότητας που παρείχε αυτήν την πρόσβαση σε μη αξιόπιστους εισβολείς. Το Ίδρυμα Λογισμικού Apache πίστευε ότι η κατάργηση του τελικού σημείου XML-RPC θα αποτρέψει την εκμετάλλευση και των δύο ζητημάτων, η ομάδα απόκρισης ασφαλείας ASF είπε μια απάντηση σε ερωτήσεις από το Dark Reading.
«Δυστυχώς παραλείψαμε ότι η ίδια παράκαμψη ελέγχου ταυτότητας επηρέασε και άλλα τελικά σημεία, όχι μόνο το XML-RPC», είπε η ομάδα. «Μόλις ενημερωθήκαμε, το δεύτερο patch εκδόθηκε μέσα σε λίγες ώρες».
Η ευπάθεια, η οποία παρακολουθείται από τον Apache ως OFBIZ-12873, «επιτρέπει στους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας για να επιτύχουν μια απλή πλαστογράφηση αιτημάτων από την πλευρά του διακομιστή (SSRF)», ο Deepak Dixit, μέλος του Apache Software Foundation, αναφέρεται στη λίστα αλληλογραφίας του Openwall. Έδωσε πιστώσεις στον ερευνητή απειλών SonicWall Hasib Vhora και σε δύο άλλους ερευνητές — τον Gao Tian και τον L0ne1y — την εύρεση του προβλήματος.
Επειδή το OfBiz είναι ένα πλαίσιο, και επομένως μέρος της αλυσίδας εφοδιασμού λογισμικού, ο αντίκτυπος της ευπάθειας θα μπορούσε να είναι ευρέως διαδεδομένος. Το δημοφιλές έργο Atlassian Jira και το λογισμικό παρακολούθησης ζητημάτων, για παράδειγμα, χρησιμοποιεί τη βιβλιοθήκη OfBiz, αλλά το εάν το exploit θα μπορούσε να εκτελεστεί με επιτυχία στην πλατφόρμα είναι ακόμα άγνωστο, λέει ο McKee της Sonicwall.
«Θα εξαρτηθεί από τον τρόπο με τον οποίο κάθε εταιρεία αρχιτέκτονα το δίκτυό της, από τον τρόπο που διαμορφώνει το λογισμικό», λέει. «Θα έλεγα ότι μια τυπική υποδομή δεν θα είχε αυτό το Διαδίκτυο, ότι θα απαιτούσε κάποιο είδος VPN ή εσωτερική πρόσβαση».
Σε κάθε περίπτωση, οι εταιρείες θα πρέπει να λάβουν μέτρα και να επιδιορθώσουν τυχόν εφαρμογές που είναι γνωστό ότι χρησιμοποιούν το OfBiz στην πιο πρόσφατη έκδοση, δήλωσε η ομάδα απόκρισης ασφαλείας της ASF.
«Η σύστασή μας για τις εταιρείες που χρησιμοποιούν το Apache OFBiz είναι να ακολουθούν τις βέλτιστες πρακτικές ασφαλείας, συμπεριλαμβανομένης της παροχής πρόσβασης στα συστήματα μόνο σε εκείνους τους χρήστες που το χρειάζονται, να φροντίζουν να ενημερώνουν τακτικά το λογισμικό σας και να διασφαλίζουν ότι είστε καλά εξοπλισμένοι για να ανταποκρίνεστε σε περίπτωση ασφάλειας δημοσιεύεται συμβουλευτική», είπαν.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches
- :είναι
- :δεν
- $UP
- 100
- 14
- 17
- 2020
- 2022
- 24
- 26%
- 41
- 7
- a
- απολύτως
- πρόσβαση
- Σύμφωνα με
- Κατορθώνω
- φορείς
- Πρόσθετος
- συμβουλευτικός
- επηρεαστούν
- κατά
- επιτρέπει
- alone
- ήδη
- Επίσης
- an
- ανάλυση
- αναλύθηκε
- αναλύοντας
- και
- απάντηση
- κάθε
- Apache
- Εφαρμογή
- εφαρμογές
- αρχιτέκτονες
- ΕΙΝΑΙ
- ΠΕΡΙΟΧΗ
- γύρω
- AS
- ASF
- At
- επίθεση
- Προσπάθειες
- προσοχή
- Πιστοποίηση
- επίγνωση
- BE
- επειδή
- ήταν
- πριν
- είναι
- Πιστεύεται
- ΚΑΛΎΤΕΡΟΣ
- βέλτιστες πρακτικές
- και οι δύο
- τσαμπί
- αλλά
- by
- παρακάμψει
- CAN
- Αιτία
- αλυσίδα
- Διάγραμμα
- επιλέγονται
- κωδικός
- Εταιρείες
- εταίρα
- περιεκτικός
- ΣΥΝΕΧΕΙΑ
- συμβάλλει
- θα μπορούσε να
- Κυβερνασφάλεια
- κινδύνους
- σκοτάδι
- Σκοτεινή ανάγνωση
- Ημ.
- μοιρασιά
- Δεκέμβριος
- αποφάσισε
- Deepak
- εξαρτηθεί
- περιγράφεται
- δύσκολος
- DIG
- Διευθυντής
- αποκάλυψη
- ανακάλυψαν
- γίνεται
- douglas
- που
- κάθε
- προσπάθειες
- Τελικό σημείο
- Εταιρεία
- ERP
- Συμβάν
- παράδειγμα
- εκτελέσει
- εκτελεστικός
- Εκτελεστικός Διευθυντής - andrew@betterdays.ngo
- υπάρχει
- αναμένει
- Εκμεταλλεύομαι
- εκμετάλλευση
- Κακοποιημένα
- εκμεταλλεύεται
- επιπλέον
- μάτια
- παράγοντας
- παράγοντες
- ΑΠΟΤΥΓΧΑΝΩ
- Απέτυχε
- Εικόνα
- εύρεση
- Εταιρεία
- πέντε
- σταθερός
- διορθώσεις
- ελάττωμα
- εστιάζοντας
- ακολουθήστε
- Για
- πλαστογραφία
- Βρέθηκαν
- Θεμέλιο
- Πλαίσιο
- από
- πλήρως
- GAO
- Δίνοντας
- μετάβαση
- Group
- Ομάδα
- είχε
- συνέβη
- συμβαίνει
- Σκληρά
- σκληρή δουλειά
- Έχω
- he
- εδώ
- ανταύγειες
- ΩΡΕΣ
- HTML
- HTTPS
- τεράστιος
- i
- προσδιορίζονται
- if
- εικόνα
- άμεσος
- Επίπτωση
- in
- περιστατικό
- Συμπεριλαμβανομένου
- όλο και περισσότερο
- πληροφορίες
- Υποδομή
- περιβάλλον λειτουργίας
- εσωτερικός
- σε
- isn
- ζήτημα
- Εκδόθηκε
- θέματα
- IT
- ΤΟΥ
- jpg
- μόλις
- Είδος
- γνωστός
- αργότερο
- ξεκίνησε
- Βιβλιοθήκη
- Πιθανός
- γραμμές
- ματιά
- Παρτίδα
- που
- ταχυδρομική
- Κατασκευή
- διαχειρίζεται
- διευθυντής
- πολοί
- Ενδέχεται..
- μέλος
- εκατομμύρια
- έχασε
- μείωση
- περισσότερο
- στενός
- Ανάγκη
- δίκτυο
- Όχι.
- τώρα
- πολυάριθμες
- of
- συχνά
- oh
- on
- μια φορά
- ONE
- αποκλειστικά
- άνοιξε
- or
- πρωτότυπο
- αρχικά
- ΑΛΛΑ
- δικός μας
- έξω
- επί
- μέρος
- Patch
- Patches
- Διόρθωση
- προοπτική
- σχεδιασμό
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- Δημοφιλής
- πρακτικές
- παρόν
- πρόληψη
- προηγουμένως
- Πριν
- ιεράρχηση
- Πρόβλημα
- προβλήματα
- σχέδιο
- υποσχόμενος
- δεόντως
- προστασία
- παρέχεται
- δημόσιο
- δημοσιεύθηκε
- Ερωτήσεις
- μάλλον
- Ανάγνωση
- πραγματικός
- λόγους
- Σύσταση
- τακτικά
- σχετίζεται με
- κυκλοφόρησε
- απελευθερώνοντας
- παραμένουν
- μακρόθεν
- Καταργήθηκε
- αφαίρεση
- αναφέρουν
- αναφέρθηκαν
- ζητήσει
- απαιτούν
- απαιτείται
- έρευνα
- ερευνητής
- ερευνητές
- πόρος
- Απάντηση
- απάντησης
- αποτέλεσμα
- δεξιά
- βράχος
- ρίζα
- s
- Είπε
- ίδιο
- λένε
- ρητό
- λέει
- μηδέν
- λεπτομερής έλεγχος
- Δεύτερος
- ασφάλεια
- αρχαιότερος
- ευαίσθητος
- διάφοροι
- Κοινοποίηση
- θα πρέπει να
- σημαντικός
- Απλούς
- απλά
- αφού
- ενιαίας
- ΕΞΙ
- λογισμικό
- αλυσίδα εφοδιασμού λογισμικού
- στέρεο
- μερικοί
- Κάποιος
- κάτι
- Πηγή
- Spot
- Εκκίνηση
- Βήματα
- Ακόμη
- Στρατηγική
- Επιτυχώς
- προμήθεια
- αλυσίδας εφοδιασμού
- βέβαιος
- συστήματα
- TAG
- Πάρτε
- στόχος
- στοχευμένες
- από
- ότι
- Η
- τους
- Εκεί.
- αυτοί
- αυτό
- εκείνοι
- απειλή
- απειλή
- Μέσω
- Ετσι
- φορές
- προς την
- δύο
- τύπος
- τυπικός
- υπογράμμισης
- κατανόηση
- Δυστυχώς
- άγνωστος
- Ενημέρωση
- ενημερώθηκε
- χρήση
- Χρήστες
- χρησιμοποιεί
- χρησιμοποιώντας
- Ve
- εκδοχή
- VPN
- Θέματα ευπάθειας
- ευπάθεια
- ήταν
- Τρόπος..
- τρόπους
- we
- αδύνατος
- ήταν
- Τι
- πότε
- αν
- Ποιό
- ολόκληρο
- WHY
- διαδεδομένη
- με
- εντός
- Εργασία
- θα
- XML
- Εσείς
- Σας
- τον εαυτό σας
- zephyrnet