Apache ERP Zero-Day subraya los peligros de los parches incompletos

Grupos desconocidos han lanzado investigaciones contra una vulnerabilidad de día cero identificada en el marco de planificación de recursos empresariales (ERP) OfBiz de Apache, una estrategia cada vez más popular para analizar parches en busca de formas de evitar las correcciones de software.

La vulnerabilidad del día 0 (CVE-2023-51467) en Apache OFBiz, divulgado el 26 de diciembre, permite a un atacante acceder a información confidencial y ejecutar código de forma remota en aplicaciones utilizando el marco ERP, según un análisis de la firma de ciberseguridad SonicWall. La Apache Software Foundation había lanzado originalmente un parche para un problema relacionado, CVE-2023-49070, pero la solución no protegió contra otras variaciones del ataque.

El incidente pone de relieve la estrategia de los atacantes de examinar cualquier parche lanzado en busca de vulnerabilidades de alto valor, esfuerzos que a menudo resultan en encontrar formas de evitar correcciones de software, dice Douglas McKee, director ejecutivo de investigación de amenazas en SonicWall.

“Una vez que alguien ha hecho el arduo trabajo de decir: 'Oh, aquí existe una vulnerabilidad', ahora un gran grupo de investigadores o actores de amenazas pueden observar ese punto estrecho, y usted se ha abierto a un escrutinio mucho mayor. ," él dice. "Ha llamado la atención sobre esa área del código, y si su parche no es sólido o se perdió algo, es más probable que lo encuentren porque tiene más ojos puestos en él".

El investigador de SonicWall, Hasib Vhora, analizó el parche del 5 de diciembre y descubrió formas adicionales de explotar el problema, que la compañía informó a la Apache Software Foundation el 14 de diciembre. 

"Estábamos intrigados por la mitigación elegida al analizar el parche para CVE-2023-49070 y sospechamos que la omisión de autenticación real todavía estaría presente ya que el parche simplemente eliminó el código XML RPC de la aplicación", Vhora afirmado en un análisis del tema. "Como resultado, decidimos profundizar en el código para descubrir la causa raíz del problema de omisión de autenticación".

Los ataques se dirigieron a la vulnerabilidad Apache OfBiz antes de su divulgación el 26 de diciembre. Fuente: Sonicwall

El 21 de diciembre, cinco días antes de que el problema se hiciera público, SonicWall ya había identificado intentos de explotación del problema. 

Parche imperfecto

Apache no es el único que ha lanzado un parche que los atacantes han logrado eludir. En 2020, seis de las 24 vulnerabilidades (25%) atacadas mediante exploits de día cero fueron variaciones de problemas de seguridad previamente parcheados, según datos publicados por el Grupo de Análisis de Amenazas (TAG) de Google. Para 2022, 17 de las 41 vulnerabilidades atacadas por exploits de día cero (41%) eran variantes de problemas parcheados previamente, según Google. afirmado en un análisis actualizado.

Las razones por las que las empresas no logran solucionar completamente un problema son numerosas, desde no comprender la causa raíz del problema hasta lidiar con enormes acumulaciones de vulnerabilidades de software y priorizar un parche inmediato sobre una solución integral, dice Jared Semrau, gerente senior de Google Mandiant. grupo de vulnerabilidad y explotación. 

"No existe una respuesta única y sencilla de por qué sucede esto", afirma. "Hay varios factores que pueden contribuir a [un parche incompleto], pero [los investigadores de SonicWall] tienen toda la razón: muchas veces las empresas simplemente parchean el vector de ataque conocido".

Google espera que la proporción de exploits de día cero que apuntan a vulnerabilidades sin parchear completamente siga siendo un factor importante. Desde la perspectiva del atacante, encontrar vulnerabilidades en una aplicación es difícil porque los investigadores y los actores de amenazas tienen que revisar 100,000 o millones de líneas de código. Al centrarse en vulnerabilidades prometedoras que tal vez no hayan sido reparadas adecuadamente, los atacantes pueden continuar atacando un punto débil conocido en lugar de empezar desde cero.

Una solución para solucionar OfBiz

En muchos sentidos, eso es lo que pasó con la vulnerabilidad de Apache OfBiz. El informe original describía dos problemas: una falla de RCE que requería acceso a la interfaz XML-RPC (CVE-2023-49070) y un problema de omisión de autenticación que proporcionaba este acceso a atacantes no confiables. La Apache Software Foundation creía que eliminar el punto final XML-RPC evitaría que ambos problemas fueran explotados, dijo el equipo de respuesta de seguridad de ASF en respuesta a las preguntas de Dark Reading.

"Desafortunadamente, no vimos que la misma omisión de autenticación también afectaba a otros puntos finales, no sólo al XML-RPC", dijo el equipo. "Una vez que nos enteramos, el segundo parche se emitió en cuestión de horas".

La vulnerabilidad, rastreada por Apache como OFBIZ-12873, “permite a los atacantes eludir la autenticación para lograr una falsificación de solicitud del lado del servidor (SSRF) simple”, dijo Deepak Dixit, miembro de la Apache Software Foundation. indicado en la lista de correo de Openwall. Le dio crédito al investigador de amenazas de SonicWall, Hasib Vhora, y a otros dos investigadores, Gao Tian y L0ne1y, por haber encontrado el problema.

Debido a que OfBiz es un marco y, por lo tanto, parte de la cadena de suministro de software, el impacto de la vulnerabilidad podría ser generalizado. El popular proyecto Atlassian Jira y el software de seguimiento de problemas, por ejemplo, utilizan la biblioteca OfBiz, pero aún se desconoce si el exploit podría ejecutarse exitosamente en la plataforma, dice McKee de Sonicwall.

"Dependerá de la forma en que cada empresa diseñe su red, de la forma en que configure el software", afirma. "Yo diría que una infraestructura típica no tendría acceso a Internet, sino que requeriría algún tipo de VPN o acceso interno".

En cualquier caso, las empresas deben tomar medidas y actualizar cualquier aplicación que se sepa que utiliza OfBiz a la última versión, dijo el equipo de respuesta de seguridad de ASF. 

“Nuestra recomendación para las empresas que utilizan Apache OFBiz es seguir las mejores prácticas de seguridad, lo que incluye dar acceso a los sistemas únicamente a aquellos usuarios que lo necesiten, asegurarse de actualizar periódicamente su software y asegurarse de estar bien equipado para responder cuando se produzca un problema de seguridad. Se publica el aviso”, dijeron.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches