Apache ERP Zero-Day korostaa epätäydellisten korjaustiedostojen vaaraa

Tuntemattomat ryhmät ovat käynnistäneet tutkimuksia nollapäivän haavoittuvuudesta, joka on tunnistettu Apachen OfBiz Enterprise Resource Planning (ERP) -kehyksessä – yhä suositummassa strategiassa analysoida korjaustiedostoja tapoja ohittaa ohjelmistokorjaukset.

0 päivän haavoittuvuus (CVE-2023-51467) 26. joulukuuta julkistetussa Apache OFBiz -sovelluksessa hyökkääjä voi päästä käsiksi arkaluontoisiin tietoihin ja suorittaa koodia ERP-kehystä käyttäviä sovelluksia vastaan ​​kyberturvallisuusyrityksen SonicWallin analyysin mukaan. Apache Software Foundation oli alun perin julkaissut korjaustiedoston asiaan liittyvään ongelmaan CVE-2023-49070, mutta korjaus ei pystynyt suojaamaan muita hyökkäyksen muunnelmia vastaan.

Tapaus korostaa hyökkääjien strategiaa tutkia kaikki julkaistut korjaustiedostot arvokkaiden haavoittuvuuksien varalta – ponnisteluista, jotka usein johtavat menetelmien löytämiseen ohjelmiston korjaamiseen, sanoo Douglas McKee, SonicWallin uhkatutkimuksen johtaja.

"Kun joku on tehnyt kovan työn sanoessaan: "Voi, täällä on haavoittuvuus", nyt koko joukko tutkijoita tai uhkatekijöitä voi katsoa tätä yhtä kapeaa kohtaa, ja olet tavallaan avannut itsesi paljon enemmän tarkastelulle. ," hän sanoo. "Olet kiinnittänyt huomion kyseiseen koodialueeseen, ja jos korjaustiedostosi ei ole vakaa tai jotain jäi huomaamatta, se löytyy todennäköisemmin, koska sinulla on siihen ylimääräinen katse."

SonicWall-tutkija Hasib Vhora analysoi 5. joulukuun korjaustiedoston ja löysi muita tapoja hyödyntää ongelmaa, joista yritys ilmoitti Apache Software Foundationille 14. joulukuuta. 

"Meitä kiinnosti valittu lievennys, kun analysoimme korjaustiedostoa CVE-2023-49070:lle ja epäilimme, että todellinen todennuksen ohitus olisi edelleen olemassa, koska korjaustiedosto yksinkertaisesti poisti XML RPC -koodin sovelluksesta", Vhora asiaa koskevassa analyysissä. "Tämän seurauksena päätimme kaivella koodia selvittääksemme todennuksen ohitusongelman perimmäisen syyn."

Hyökkäykset kohdistuivat Apache OfBiz -haavoittuvuuteen ennen sen julkistamista 26. joulukuuta. Lähde: Sonicwall

Joulukuun 21. päivään mennessä, viisi päivää ennen ongelman julkistamista, SonicWall oli jo tunnistanut ongelman hyödyntämisyritykset. 

Patch epätäydellinen

Apache ei ole yksin julkaissut korjaustiedoston, jonka hyökkääjät ovat onnistuneet ohittamaan. Vuonna 2020 kuusi 24 haavoittuvuudesta (25 %), joihin hyökättiin nollapäivän hyökkäyksillä, oli muunnelmia aiemmin korjatuista tietoturvaongelmista. Googlen Threat Analysis Groupin (TAG) julkaisemat tiedot. Vuoteen 2022 mennessä 17 41 haavoittuvuudesta, joihin nollapäivän hyökkäyksiä hyökkäsivät (41 %), oli muunnelmia aiemmin korjatuista ongelmista, Google todetaan päivitetyssä analyysissä.

Syitä siihen, miksi yritykset eivät pysty korjaamaan ongelmaa, on monia syitä, aina ongelman perimmäisen syyn ymmärtämättä jättämisestä valtavien ohjelmistohaavoittuvuuksien käsittelyyn ja välittömän korjaustiedoston priorisointiin kattavan korjauksen sijaan, sanoo Jared Semrau, Google Mandiantin vanhempi johtaja. haavoittuvuus ja hyväksikäyttöryhmä. 

"Ei ole yksinkertaista, yksiselitteistä vastausta siihen, miksi näin tapahtuu", hän sanoo. "On useita tekijöitä, jotka voivat vaikuttaa [epätäydelliseen korjaustiedostoon], mutta [SonicWall-tutkijat] ovat täysin oikeassa - usein yritykset vain korjaavat tunnettua hyökkäysvektoria."

Google odottaa, että epätäydellisesti korjattuihin haavoittuvuuksiin kohdistuvien nollapäivän hyväksikäyttöjen osuus säilyy merkittävänä tekijänä. Hyökkääjän näkökulmasta sovelluksen haavoittuvuuksien löytäminen on vaikeaa, koska tutkijoiden ja uhkatekijöiden täytyy käydä läpi 100,000 XNUMX tai miljoonia koodirivejä. Keskittymällä lupaaviin haavoittuvuuksiin, joita ei ehkä ole korjattu kunnolla, hyökkääjät voivat jatkaa hyökkäämistä tunnettuun heikkoon kohtaan sen sijaan, että aloittaisivat tyhjästä.

Reitti Bizin korjauksen ympärille

Monella tapaa näin kävi Apache OfBiz -haavoittuvuuden kanssa. Alkuperäisessä raportissa kuvattiin kaksi ongelmaa: RCE-virhe, joka vaati pääsyn XML-RPC-liittymään (CVE-2023-49070) ja todennuksen ohitusongelma, joka antoi epäluotettaville hyökkääjille tämän pääsyn. Apache Software Foundation uskoi, että XML-RPC-päätepisteen poistaminen estäisi molempien ongelmien hyödyntämisen, ASF-tietoturvaryhmä vastasi Dark Readingin kysymyksiin.

"Valitettavasti emme ottaneet huomioon, että sama todennuksen ohitus vaikutti myös muihin päätepisteisiin, ei vain XML-RPC:hen", tiimi sanoi. "Kun saimme tiedon, toinen laastari julkaistiin muutamassa tunnissa."

Haavoittuvuus, jonka Apache jäljittää nimellä OFBIZ-12873, "antaa hyökkääjien ohittaa todennuksen saavuttaakseen yksinkertaisen palvelinpuolen pyyntöväärennöksen (SSRF)," Deepak Dixit, Apache Software Foundationin jäsen, mainittu Openwallin postituslistalla. Hän tunnusti SonicWall-uhantutkijan Hasib Vhoran ja kahden muun tutkijan - Gao Tianin ja L0ne1y:n - ongelman löytämisen.

Koska OfBiz on kehys ja siten osa ohjelmistojen toimitusketjua, haavoittuvuuden vaikutus voi olla laajalle levinnyt. Esimerkiksi suosittu Atlassian Jira -projekti ja ongelmanseurantaohjelmisto käyttävät OfBiz-kirjastoa, mutta onnistuuko hyödyntäminen alustalla, ei vielä tiedetä, Sonicwallin McKee sanoo.

"Se riippuu tavasta, jolla kukin yritys suunnittelee verkkonsa, tavasta, jolla he määrittävät ohjelmiston", hän sanoo. "Sanoisin, että tyypillisessä infrastruktuurissa ei olisi tätä Internetiin päin, että se vaatisi jonkinlaisen VPN: n tai sisäisen pääsyn."

Joka tapauksessa yritysten tulisi ryhtyä toimiin ja korjata kaikki sovellukset, joiden tiedetään käyttävän OfBiziä uusimpaan versioon, ASF-tietoturvaryhmä sanoi. 

"Suosittelemme Apache OFBiziä käyttäville yrityksille turvallisuuden parhaiden käytäntöjen noudattamista, mukaan lukien pääsyn myöntäminen järjestelmiin vain niille käyttäjille, jotka sitä tarvitsevat, päivittää ohjelmistosi säännöllisesti ja varmistaa, että sinulla on hyvät valmiudet vastata tietoturvaan neuvonta on julkaistu", he sanoivat.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches