Apache ERP Zero-Day بر خطرات وصله های ناقص تاکید می کند

Apache ERP Zero-Day بر خطرات وصله های ناقص تاکید می کند

تمبر زمان: 4 ژانویه 2024، ساعت 4:00 بعد از ظهر

گروه‌های ناشناس کاوش‌هایی را علیه آسیب‌پذیری روز صفر شناسایی‌شده در چارچوب برنامه‌ریزی منابع سازمانی (ERP) آپاچی راه‌اندازی کرده‌اند - یک استراتژی رو به افزایش محبوب برای تجزیه و تحلیل وصله‌ها برای راه‌هایی برای دور زدن اصلاحات نرم‌افزاری.

آسیب پذیری 0 روزه (CVE-2023-51467) بر اساس تجزیه و تحلیل شرکت امنیت سایبری SonicWall، در آپاچی OFBiz، که در 26 دسامبر فاش شد، به مهاجم اجازه می دهد تا به اطلاعات حساس دسترسی پیدا کند و از راه دور کد را با استفاده از چارچوب ERP علیه برنامه ها اجرا کند. بنیاد نرم‌افزار آپاچی در ابتدا وصله‌ای را برای یک مشکل مرتبط به نام CVE-2023-49070 منتشر کرده بود، اما این اصلاح نتوانست در برابر سایر انواع حمله محافظت کند.

داگلاس مک‌کی، مدیر اجرایی تحقیقات تهدید در SonicWall می‌گوید این رویداد استراتژی مهاجمان را برای بررسی دقیق هرگونه وصله‌هایی که برای آسیب‌پذیری‌های با ارزش منتشر می‌شوند برجسته می‌کند - تلاش‌هایی که اغلب به یافتن راه‌هایی برای رفع مشکلات نرم‌افزاری منجر می‌شود.

زمانی که کسی کار سخت گفتن "اوه، یک آسیب پذیری اینجا وجود دارد" را انجام داد، اکنون گروه کاملی از محققان یا بازیگران تهدید می توانند به آن نقطه باریک نگاه کنند و شما به نوعی خود را در معرض بررسی دقیق تری قرار داده اید. او می گوید. شما توجه خود را به آن ناحیه از کد جلب کرده‌اید، و اگر وصله شما کاملاً محکم نیست یا چیزی از قلم افتاده است، به احتمال زیاد پیدا می‌شود زیرا به آن توجه بیشتری دارید.»

Hasib Vhora، محقق SonicWall، وصله 5 دسامبر را تجزیه و تحلیل کرد و راه‌های دیگری برای بهره‌برداری از این مشکل کشف کرد که این شرکت در 14 دسامبر به بنیاد نرم‌افزار آپاچی گزارش داد. 

Vhora "ما در هنگام تجزیه و تحلیل پچ برای CVE-2023-49070، شیفته کاهش انتخاب شده بودیم و مشکوک بودیم که بای پس احراز هویت واقعی همچنان وجود داشته باشد، زیرا این وصله به سادگی کد XML RPC را از برنامه حذف کرد." در تحلیل این موضوع بیان شده است. "در نتیجه، ما تصمیم گرفتیم کد را بررسی کنیم تا علت اصلی مشکل بای پس احراز هویت را کشف کنیم."

نمودار تلاش های بهره برداری برای CVE-2023-51467

حملات آسیب‌پذیری Apache OfBiz را قبل از افشای آن در 26 دسامبر مورد هدف قرار دادند. منبع: Sonicwall

تا 21 دسامبر، پنج روز قبل از انتشار عمومی این موضوع، SonicWall قبلاً تلاش‌هایی را برای بهره‌برداری از این مشکل شناسایی کرده بود. 

پچ ناقص

آپاچی در انتشار وصله ای که مهاجمان موفق به دور زدن آن شده اند، تنها نیست. در سال 2020، شش آسیب‌پذیری از 24 آسیب‌پذیری (25 درصد) مورد حمله با استفاده از اکسپلویت‌های روز صفر، تغییراتی در مسائل امنیتی قبلاً اصلاح‌شده بودند. داده های منتشر شده توسط گروه تحلیل تهدیدات گوگل (TAG). تا سال 2022، 17 آسیب‌پذیری از 41 آسیب‌پذیری مورد حمله توسط بهره‌برداری‌های روز صفر (41 درصد) انواعی از مشکلات قبلی وصله‌شده بودند. در یک تحلیل به روز بیان شده است.

جارد سمراو، مدیر ارشد Google Mandiant می‌گوید دلایلی که شرکت‌ها نمی‌توانند به طور کامل یک مشکل را اصلاح کنند، بسیار زیاد است، از درک نکردن علت اصلی مشکل گرفته تا مقابله با انبوهی از آسیب‌پذیری‌های نرم‌افزاری تا اولویت دادن به یک وصله فوری نسبت به یک اصلاح جامع. گروه آسیب پذیری و استثمارگر 

او می‌گوید: «هیچ پاسخ ساده و واحدی برای اینکه چرا این اتفاق می‌افتد وجود ندارد. فاکتورهای متعددی وجود دارد که می‌تواند به [پچ ناقص] کمک کند، اما [محققان SonicWall] کاملاً درست می‌گویند – بسیاری از مواقع شرکت‌ها فقط بردار حمله شناخته شده را اصلاح می‌کنند.»

گوگل انتظار دارد که سهم بهره برداری های روز صفر که آسیب پذیری های ناقص وصله شده را هدف قرار می دهند، عامل مهمی باقی بماند. از منظر مهاجم، یافتن آسیب‌پذیری‌ها در یک برنامه دشوار است، زیرا محققان و عوامل تهدید باید ۱۰۰۰۰۰ یا میلیون‌ها خط کد را بررسی کنند. با تمرکز بر آسیب‌پذیری‌های امیدوارکننده‌ای که ممکن است به‌درستی اصلاح نشده باشند، مهاجمان می‌توانند به جای شروع از صفر، به یک نقطه ضعف شناخته‌شده حمله کنند.

راه دور تعمیر OfBiz

از بسیاری جهات، این همان چیزی است که در مورد آسیب‌پذیری Apache OfBiz رخ داد. گزارش اولیه دو مشکل را تشریح کرد: یک نقص RCE که نیاز به دسترسی به رابط XML-RPC (CVE-2023-49070) داشت و یک مشکل بای پس احراز هویت که مهاجمان غیرقابل اعتماد را با این دسترسی فراهم می کرد. بنیاد نرم افزار آپاچی معتقد بود که حذف نقطه پایانی XML-RPC از سوء استفاده از هر دو مشکل جلوگیری می کند، تیم پاسخ امنیتی ASF پاسخی به سؤالات Dark Reading گفت.

تیم گفت: «متاسفانه ما فراموش کردیم که همان دور زدن احراز هویت بر سایر نقاط پایانی، نه فقط XML-RPC، تأثیر گذاشته است. هنگامی که ما مطلع شدیم، وصله دوم ظرف چند ساعت صادر شد.

این آسیب‌پذیری که توسط آپاچی به‌عنوان OFBIZ-12873 ردیابی شده است، به مهاجمان اجازه می‌دهد تا احراز هویت را دور بزنند تا به جعل درخواست‌های ساده سمت سرور (SSRF) دست یابند،» Deepak Dixit، عضو بنیاد نرم‌افزار آپاچی، در لیست پستی Openwall ذکر شده است. او به محقق تهدید SonicWall، Hasib Vhora و دو محقق دیگر - Gao Tian و L0ne1y - نسبت به یافتن این موضوع اعتبار داد.

از آنجایی که OfBiz یک چارچوب و در نتیجه بخشی از زنجیره تامین نرم افزار است، تأثیر آسیب پذیری می تواند گسترده باشد. به‌عنوان مثال، پروژه محبوب Atlassian Jira و نرم‌افزار ردیابی مسئله، از کتابخانه OfBiz استفاده می‌کند، اما به گفته McKee از Sonicwall، هنوز مشخص نیست که آیا این اکسپلویت می‌تواند با موفقیت روی پلتفرم اجرا شود یا خیر.

او می‌گوید: «این بستگی به روشی دارد که هر شرکتی شبکه خود را طراحی می‌کند، به روشی که نرم‌افزار را پیکربندی می‌کند. من می‌گویم که یک زیرساخت معمولی دارای این اینترنت نیست، که به نوعی VPN یا دسترسی داخلی نیاز دارد.

تیم پاسخگویی امنیتی ASF گفت، در هر صورت، شرکت‌ها باید اقداماتی را انجام دهند و برنامه‌های شناخته شده برای استفاده از OfBiz را به آخرین نسخه وصله کنند. 

“توصیه ما به شرکت‌هایی که از Apache OFBiz استفاده می‌کنند این است که بهترین شیوه‌های امنیتی را دنبال کنند، از جمله تنها دادن دسترسی به سیستم‌ها به کاربرانی که به آن نیاز دارند، اطمینان حاصل کنند که نرم‌افزار خود را به‌طور منظم به‌روزرسانی می‌کنند، و اطمینان حاصل کنند که به خوبی مجهز هستید تا در هنگام یک امنیت پاسخ دهید. مشاوره منتشر شده است.

تمبر زمان:

بیشتر از تاریک خواندن