Apache ERP Zero-Day rõhutab mittetäielike paikade ohtu

Apache ERP Zero-Day rõhutab mittetäielike paikade ohtu

Ajatempel: 4. jaanuar 2024 4:00

Tundmatud rühmad on käivitanud uuringud Apache'i OfBiz ettevõtte ressursside planeerimise (ERP) raamistikus tuvastatud nullpäeva haavatavuse vastu – üha populaarsemaks muutuvas strateegias plaastrite analüüsimiseks tarkvaraparandustest möödahiilimise viiside leidmiseks.

0-päevane haavatavus (CVE-2023-51467) 26. detsembril avalikustatud Apache OFBiz võimaldab ründajal pääseda juurde tundlikule teabele ja kaugkäivitada ERP-raamistikku kasutavate rakenduste koodi vastavalt küberturbefirma SonicWall analüüsile. Apache Software Foundation oli algselt välja andnud plaastri seotud probleemi CVE-2023-49070 jaoks, kuid parandus ei suutnud kaitsta rünnaku muude variatsioonide eest.

Juhtum tõstab esile ründajate strateegia, mille kohaselt kontrollitakse kõiki välja lastud plaastreid suure väärtusega turvaaukude jaoks – jõupingutused, mille tulemuseks on sageli tarkvaraparanduste leidmise viise, ütleb SonicWalli ohuuuringute tegevdirektor Douglas McKee.

"Kui keegi on teinud raske töö, öeldes: "Oh, siin on haavatavus", saab nüüd terve hulk uurijaid või ohus osalejaid vaadata seda ühte kitsast kohta ja olete avanud end palju suuremale kontrollile. ," ta ütleb. "Olete sellele koodialale tähelepanu juhtinud ja kui teie plaaster pole kindel või midagi jäi vahele, leitakse see tõenäolisemalt üles, kuna teil on sellel rohkem pilku."

SonicWalli uurija Hasib Vhora analüüsis 5. detsembri plaastrit ja avastas täiendavaid võimalusi probleemi ärakasutamiseks, millest ettevõte teatas Apache Software Foundationile 14. detsembril. 

"Meid huvitas valitud leevendus CVE-2023-49070 plaastri analüüsimisel ja kahtlustasime, et tõeline autentimisest möödaviimine on endiselt olemas, kuna plaaster lihtsalt eemaldas rakendusest XML RPC-koodi," Vhora seda probleemi analüüsis. "Selle tulemusel otsustasime koodi süveneda, et selgitada välja autentimisest möödaviimise probleemi algpõhjus."

CVE-2023-51467 ärakasutamiskatsete diagramm

Rünnakud olid suunatud Apache OfBiz haavatavusele enne selle avalikustamist 26. detsembril. Allikas: Sonicwall

21. detsembriks, viis päeva enne probleemi avalikustamist, oli SonicWall juba tuvastanud selle probleemi kasutamise katsed. 

Plaaster ebatäiuslik

Apache ei ole üksi, kes vabastab plaastri, millest ründajatel on õnnestunud mööda minna. Vastavalt andmetele olid 2020. aastal kuus 24 turvaaugust (25%), mida rünnati nullpäevade ärakasutamisega, variatsioonid varem parandatud turvaprobleemidest. Google'i ohuanalüüsirühma (TAG) avaldatud andmed. 2022. aastaks oli 17 41 turvaaugust, mida nullpäeva rünnakud rünnasid (41%), varem paigatud probleemide variandid, Google märgitakse ajakohastatud analüüsis.

Põhjuseid, miks ettevõtted ei suuda probleemi täielikult parandada, on palju, alustades probleemi algpõhjuse mittemõistmisest kuni suurte tarkvarahaavatavustega tegelemiseni ja lõpetades kohese paranduse eelistamisega kõikehõlmavale parandusele, ütleb Google Mandianti vanemjuht Jared Semrau. haavatavuse ja ärakasutamise rühm. 

"Ei ole lihtsat ja ühest vastust, miks see juhtub," ütleb ta. "On mitu tegurit, mis võivad kaasa aidata [puudulikule plaastrile], kuid [SonicWalli teadlastel] on täiesti õigus – sageli teevad ettevõtted lihtsalt teadaolevat ründevektorit lappimas."

Google loodab, et null-päeva ärakasutamiste osakaal, mis sihivad mittetäielikult parandatud turvaauke, jääb oluliseks teguriks. Ründaja vaatenurgast on rakenduses haavatavuste leidmine keeruline, kuna teadlased ja ohus osalejad peavad läbi vaatama 100,000 XNUMX või miljoneid koodiridu. Keskendudes paljutõotavatele turvaaukudele, mis ei pruugi olla korralikult parandatud, saavad ründajad jätkata teadaoleva nõrga koha ründamist, mitte alustada nullist.

Tee ümber Bizi parandamisest

Paljuski nii juhtus Apache OfBiz haavatavusega. Algses aruandes kirjeldati kahte probleemi: RCE viga, mis nõudis juurdepääsu XML-RPC liidesele (CVE-2023-49070) ja autentimise möödaviigu probleem, mis andis ebausaldusväärsetele ründajatele selle juurdepääsu. Apache Software Foundation uskus, et XML-RPC lõpp-punkti eemaldamine takistab mõlema probleemi ärakasutamist, ütles ASF-i turvalisuse meeskond vastuseks Dark Readingi küsimustele.

"Kahjuks jäi meil tähelepanuta, et sama autentimise möödaviimine mõjutas ka teisi lõpp-punkte, mitte ainult XML-RPC-d," ütles meeskond. "Kui meid teavitati, anti välja teine ​​plaaster mõne tunni jooksul."

Haavatavus, mida Apache jälgib kui OFBIZ-12873, "võimaldab ründajatel autentimisest mööda minna, et saavutada lihtne serveripoolse päringu võltsimine (SSRF)," Deepak Dixit, Apache Software Foundationi liige, märgitud Openwalli meililistis. Ta tunnustas probleemi leidmise eest SonicWalli ohtude uurijat Hasib Vhorat ja kahte teist teadlast - Gao Tiani ja L0ne1y.

Kuna OfBiz on raamistik ja seega osa tarkvara tarneahelast, võib haavatavuse mõju olla laialt levinud. Näiteks populaarne Atlassian Jira projekt ja probleemide jälgimise tarkvara kasutab OfBizi teeki, kuid kas see ärakasutamine saaks platvormil edukalt käivituda, pole veel teada, ütleb Sonicwalli McKee.

"See sõltub sellest, kuidas iga ettevõte oma võrku kujundab, sellest, kuidas nad tarkvara konfigureerivad," ütleb ta. "Ma ütleksin, et tüüpilisel infrastruktuuril pole seda Interneti-poolset külge, et see nõuaks teatud tüüpi VPN-i või sisemist juurdepääsu."

Igal juhul peaksid ettevõtted astuma samme ja muutma kõik teadaolevalt OfBizi kasutavad rakendused uusimale versioonile, teatas ASF-i turvalisuse meeskond. 

"Meie soovitus ettevõtetele, kes kasutavad Apache OFBizit, on järgida turvalisuse parimaid tavasid, sealhulgas anda juurdepääs süsteemidele ainult neile kasutajatele, kes seda vajavad, oma tarkvara regulaarselt värskendada ja tagada, et teil oleks hea varustus reageerida, kui turvaprobleemid. avaldatakse, " ütlesid nad.

Ajatempel:

Veel alates Tume lugemine