Apache ERP Zero-Day souligne les dangers des correctifs incomplets

Des groupes inconnus ont lancé des enquêtes contre une vulnérabilité zero-day identifiée dans le cadre de planification des ressources d'entreprise (ERP) OfBiz d'Apache – une stratégie de plus en plus populaire d'analyse des correctifs pour trouver des moyens de contourner les correctifs logiciels.

La vulnérabilité 0 jour (CVE-2023-51467) dans Apache OFBiz, divulgué le 26 décembre, permet à un attaquant d'accéder à des informations sensibles et d'exécuter à distance du code sur des applications utilisant le framework ERP, selon une analyse de la société de cybersécurité SonicWall. L'Apache Software Foundation avait initialement publié un correctif pour un problème connexe, CVE-2023-49070, mais le correctif n'a pas réussi à protéger contre d'autres variantes de l'attaque.

L'incident met en évidence la stratégie des attaquants consistant à examiner minutieusement tous les correctifs publiés pour détecter les vulnérabilités de grande valeur – efforts qui aboutissent souvent à trouver des moyens de contourner les correctifs logiciels, explique Douglas McKee, directeur exécutif de la recherche sur les menaces chez SonicWall.

« Une fois que quelqu'un a fait le dur travail de dire : « Oh, une vulnérabilité existe ici », tout un groupe de chercheurs ou d'acteurs de la menace peuvent désormais examiner ce point étroit, et vous vous exposez en quelque sorte à un examen beaucoup plus minutieux. ," il dit. "Vous avez attiré l'attention sur cette zone de code, et si votre correctif n'est pas solide ou si quelque chose a été manqué, il a plus de chances d'être trouvé parce que vous avez un œil supplémentaire dessus."

Hasib Vhora, chercheur chez SonicWall, a analysé le correctif du 5 décembre et a découvert d'autres moyens d'exploiter le problème, que la société a signalé à l'Apache Software Foundation le 14 décembre. 

"Nous avons été intrigués par l'atténuation choisie lors de l'analyse du correctif pour CVE-2023-49070 et soupçonnions que le véritable contournement de l'authentification serait toujours présent puisque le correctif supprimait simplement le code XML RPC de l'application", Vhora déclaré dans une analyse de la question. "En conséquence, nous avons décidé d'approfondir le code pour déterminer la cause première du problème de contournement d'authentification."

Les attaques ont ciblé la vulnérabilité Apache OfBiz avant sa divulgation le 26 décembre. Source : Sonicwall

Le 21 décembre, cinq jours avant que le problème ne soit rendu public, SonicWall avait déjà identifié des tentatives d'exploitation du problème. 

Patch imparfait

Apache n'est pas le seul à publier un correctif que les attaquants ont réussi à contourner. En 2020, six des 24 vulnérabilités (25 %) attaquées à l'aide d'exploits Zero Day étaient des variantes de problèmes de sécurité précédemment corrigés, selon données publiées par le Threat Analysis Group (TAG) de Google. En 2022, 17 des 41 vulnérabilités attaquées par des exploits zero-day (41 %) étaient des variantes de problèmes précédemment corrigés, Google déclaré dans une analyse mise à jour.

Les raisons pour lesquelles les entreprises ne parviennent pas à corriger complètement un problème sont nombreuses, allant de la non-compréhension de la cause profonde du problème à la gestion d'énormes retards de vulnérabilités logicielles en passant par la priorité à un correctif immédiat plutôt qu'à un correctif complet, explique Jared Semrau, cadre supérieur chez Google Mandiant. groupe de vulnérabilité et d’exploitation. 

« Il n’y a pas de réponse simple et unique à la raison pour laquelle cela se produit », dit-il. « Plusieurs facteurs peuvent contribuer à [un correctif incomplet], mais [les chercheurs de SonicWall] ont tout à fait raison : la plupart du temps, les entreprises se contentent de corriger le vecteur d'attaque connu. »

Google s'attend à ce que la part des exploits Zero Day ciblant des vulnérabilités incomplètement corrigées reste un facteur important. Du point de vue de l’attaquant, il est difficile de trouver les vulnérabilités d’une application, car les chercheurs et les auteurs de menaces doivent parcourir des centaines de milliers, voire des millions de lignes de code. En se concentrant sur des vulnérabilités prometteuses qui n’ont peut-être pas été correctement corrigées, les attaquants peuvent continuer à s’attaquer à un point faible connu plutôt que de repartir de zéro.

Un moyen de contourner le correctif Biz

À bien des égards, c'est ce qui s'est produit avec la vulnérabilité Apache OfBiz. Le rapport original décrivait deux problèmes : une faille RCE qui nécessitait l'accès à l'interface XML-RPC (CVE-2023-49070) et un problème de contournement d'authentification qui fournissait cet accès à des attaquants non fiables. L'Apache Software Foundation pensait que la suppression du point de terminaison XML-RPC empêcherait l'exploitation des deux problèmes, a déclaré l'équipe de réponse à la sécurité d'ASF en réponse aux questions de Dark Reading.

"Malheureusement, nous n'avons pas remarqué que le même contournement d'authentification affectait également d'autres points de terminaison, pas seulement celui XML-RPC", a déclaré l'équipe. "Une fois que nous en avons été informés, le deuxième patch a été publié en quelques heures."

La vulnérabilité, suivie par Apache sous le nom OFBIZ-12873, « permet aux attaquants de contourner l'authentification pour réaliser une simple falsification de requête côté serveur (SSRF) », Deepak Dixit, membre de l'Apache Software Foundation, indiqué sur la liste de diffusion Openwall. Il a crédité Hasib Vhora, chercheur sur les menaces de SonicWall, et deux autres chercheurs – Gao Tian et L0ne1y – pour avoir découvert le problème.

OfBiz étant un framework et faisant donc partie de la chaîne d’approvisionnement logicielle, l’impact de la vulnérabilité pourrait être généralisé. Le projet Atlassian Jira et le logiciel de suivi des problèmes, par exemple, utilisent la bibliothèque OfBiz, mais on ne sait toujours pas si l'exploit pourrait s'exécuter avec succès sur la plate-forme, explique McKee de Sonicwall.

« Cela dépendra de la manière dont chaque entreprise conçoit son réseau et configure le logiciel », dit-il. "Je dirais qu'une infrastructure typique n'aurait pas cette connexion Internet, mais qu'elle nécessiterait un certain type de VPN ou d'accès interne."

Dans tous les cas, les entreprises devraient prendre des mesures et mettre à jour toutes les applications connues pour utiliser OfBiz vers la dernière version, a déclaré l'équipe de réponse de sécurité d'ASF. 

« Notre recommandation aux entreprises qui utilisent Apache OFBiz est de suivre les meilleures pratiques de sécurité, notamment en donnant accès aux systèmes uniquement aux utilisateurs qui en ont besoin, en veillant à mettre régulièrement à jour votre logiciel et en vous assurant que vous êtes bien équipé pour répondre en cas de problème de sécurité. un avis est publié », ont-ils déclaré.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches