अज्ञात समूहों ने अपाचे के ऑफ़बीज़ एंटरप्राइज़ रिसोर्स प्लानिंग (ईआरपी) ढांचे में पहचानी गई शून्य-दिन की भेद्यता के खिलाफ जांच शुरू की है - सॉफ्टवेयर फिक्स को बायपास करने के तरीकों के लिए पैच का विश्लेषण करने की एक तेजी से लोकप्रिय रणनीति।
0-दिन की भेद्यता (CVE-2023-51467) साइबर सुरक्षा फर्म सोनिकवॉल के एक विश्लेषण के अनुसार, अपाचे ओएफबीज़ में, 26 दिसंबर को खुलासा किया गया, एक हमलावर को संवेदनशील जानकारी तक पहुंचने और ईआरपी ढांचे का उपयोग करके अनुप्रयोगों के खिलाफ कोड को दूरस्थ रूप से निष्पादित करने की अनुमति देता है। अपाचे सॉफ्टवेयर फाउंडेशन ने मूल रूप से संबंधित मुद्दे, सीवीई-2023-49070 के लिए एक पैच जारी किया था, लेकिन यह फिक्स हमले के अन्य रूपों से बचाने में विफल रहा।
सोनिकवॉल में खतरा अनुसंधान के कार्यकारी निदेशक डगलस मैककी का कहना है कि यह घटना उच्च-मूल्य की कमजोरियों के लिए जारी किए गए किसी भी पैच की जांच करने की हमलावरों की रणनीति पर प्रकाश डालती है - ऐसे प्रयास जिनके परिणामस्वरूप अक्सर सॉफ़्टवेयर फिक्स के तरीके ढूंढे जाते हैं।
"एक बार जब किसी ने यह कहने की कड़ी मेहनत की, 'ओह, यहां एक भेद्यता मौजूद है,' अब शोधकर्ताओं या धमकी देने वाले अभिनेताओं का एक पूरा समूह उस एक संकीर्ण स्थान को देख सकता है, और आपने खुद को बहुत अधिक जांच के लिए खोल दिया है ," वह कहता है। "आपने कोड के उस क्षेत्र पर ध्यान आकर्षित किया है, और यदि आपका पैच ठोस नहीं है या कुछ छूट गया है, तो इसके पाए जाने की अधिक संभावना है क्योंकि आपकी इस पर अतिरिक्त नजर है।"
सोनिकवॉल के शोधकर्ता हसीब वोरा ने 5 दिसंबर के पैच का विश्लेषण किया और समस्या का फायदा उठाने के अतिरिक्त तरीकों की खोज की, जिसकी रिपोर्ट कंपनी ने 14 दिसंबर को अपाचे सॉफ्टवेयर फाउंडेशन को दी।
"सीवीई-2023-49070 के लिए पैच का विश्लेषण करते समय हम चुने गए शमन से चकित थे और संदेह था कि वास्तविक प्रमाणीकरण बाईपास अभी भी मौजूद होगा क्योंकि पैच ने एप्लिकेशन से एक्सएमएल आरपीसी कोड को हटा दिया था," वोरा मुद्दे के विश्लेषण में कहा गया है. "परिणामस्वरूप, हमने ऑथ-बायपास समस्या के मूल कारण का पता लगाने के लिए कोड की गहराई से जांच करने का निर्णय लिया।"
26 दिसंबर के खुलासे से पहले हमलों ने Apache OfBiz की भेद्यता को लक्षित किया। स्रोत: सोनिकवॉल
21 दिसंबर तक, मुद्दे के सार्वजनिक होने से पांच दिन पहले, सोनिकवॉल ने पहले ही इस मुद्दे के शोषण के प्रयासों की पहचान कर ली थी।
पैच अपूर्ण
पैच जारी करने में अपाचे अकेला नहीं है जिसे हमलावर बायपास करने में कामयाब रहे हैं। 2020 में, शून्य-दिन के कारनामों का उपयोग करके हमला किए गए 24 कमजोरियों (25%) में से छह पहले से पैच किए गए सुरक्षा मुद्दों पर भिन्नताएं थीं। Google के ख़तरा विश्लेषण समूह (TAG) द्वारा जारी किया गया डेटा. 2022 तक, शून्य-दिन के कारनामों (17%) द्वारा हमला की गई 41 कमजोरियों में से 41 पहले से पैच किए गए मुद्दों पर भिन्न थीं, Google एक अद्यतन विश्लेषण में कहा गया है.
गूगल मैंडिएंट के वरिष्ठ प्रबंधक जेरेड सेमराउ का कहना है कि कंपनियों द्वारा किसी समस्या को पूरी तरह से ठीक करने में असफल होने के कई कारण हैं, जिनमें समस्या के मूल कारण को न समझ पाना, सॉफ्टवेयर की कमजोरियों के भारी बैकलॉग से निपटना और व्यापक समाधान के स्थान पर तत्काल पैच को प्राथमिकता देना शामिल है। भेद्यता और शोषण समूह.
वे कहते हैं, ''ऐसा क्यों होता है इसका कोई सरल, एकल उत्तर नहीं है।'' "ऐसे कई कारक हैं जो [अपूर्ण पैच] में योगदान दे सकते हैं, लेकिन [सोनिकवॉल शोधकर्ता] बिल्कुल सही हैं - कई बार कंपनियां केवल ज्ञात आक्रमण वेक्टर को पैच कर रही हैं।"
Google को उम्मीद है कि अपूर्ण रूप से पैच की गई कमजोरियों को लक्षित करने वाले शून्य-दिन के कारनामे का हिस्सा एक महत्वपूर्ण कारक बना रहेगा। हमलावर के दृष्टिकोण से, किसी एप्लिकेशन में कमजोरियों को ढूंढना मुश्किल है क्योंकि शोधकर्ताओं और खतरे वाले अभिनेताओं को कोड की 100,000 या लाखों पंक्तियों को देखना पड़ता है। आशाजनक कमजोरियों पर ध्यान केंद्रित करके जिन्हें ठीक से ठीक नहीं किया गया है, हमलावर खरोंच से शुरू करने के बजाय ज्ञात कमजोर बिंदु पर हमला करना जारी रख सकते हैं।
ऑफ़बिज़ फिक्स के इर्द-गिर्द एक रास्ता
कई मायनों में, Apache OfBiz भेद्यता के साथ यही हुआ है। मूल रिपोर्ट में दो समस्याओं का वर्णन किया गया है: एक आरसीई दोष जिसके लिए XML-RPC इंटरफ़ेस (CVE-2023-49070) तक पहुंच की आवश्यकता होती है और एक प्रमाणीकरण बाईपास समस्या जो अविश्वसनीय हमलावरों को यह पहुंच प्रदान करती है। एएसएफ सुरक्षा प्रतिक्रिया टीम ने डार्क रीडिंग के सवालों के जवाब में कहा कि अपाचे सॉफ्टवेयर फाउंडेशन का मानना है कि एक्सएमएल-आरपीसी एंडपॉइंट को हटाने से दोनों मुद्दों का शोषण होने से रोका जा सकेगा।
टीम ने कहा, "दुर्भाग्य से हम चूक गए कि उसी प्रमाणीकरण बाईपास ने केवल XML-RPC को ही नहीं, बल्कि अन्य समापन बिंदुओं को भी प्रभावित किया।" "एक बार जब हमें अवगत कराया गया, तो दूसरा पैच कुछ ही घंटों में जारी कर दिया गया।"
अपाचे द्वारा OFBIZ-12873 के रूप में ट्रैक की गई भेद्यता, "हमलावरों को सरल सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) प्राप्त करने के लिए प्रमाणीकरण को बायपास करने की अनुमति देती है," अपाचे सॉफ्टवेयर फाउंडेशन के सदस्य दीपक दीक्षित ने कहा। ओपनवॉल मेलिंग सूची में कहा गया है. उन्होंने इस मुद्दे को खोजने के लिए सोनिकवॉल खतरे के शोधकर्ता हसीब वोरा और दो अन्य शोधकर्ताओं - गाओ तियान और एल0ने1य को श्रेय दिया।
क्योंकि OfBiz एक ढांचा है, और इस प्रकार सॉफ़्टवेयर आपूर्ति श्रृंखला का हिस्सा है, भेद्यता का प्रभाव व्यापक हो सकता है। उदाहरण के लिए, लोकप्रिय एटलसियन जिरा प्रोजेक्ट और इश्यू-ट्रैकिंग सॉफ़्टवेयर, ऑफबिज़ लाइब्रेरी का उपयोग करता है, लेकिन क्या शोषण प्लेटफ़ॉर्म पर सफलतापूर्वक निष्पादित हो सकता है, यह अभी भी अज्ञात है, सोनिकवॉल के मैकी का कहना है।
वह कहते हैं, "यह इस बात पर निर्भर करेगा कि प्रत्येक कंपनी अपने नेटवर्क को किस तरह से तैयार करती है, किस तरह से सॉफ्टवेयर को कॉन्फ़िगर करती है।" "मैं कहूंगा कि एक सामान्य बुनियादी ढांचे में यह इंटरनेट-फेसिंग नहीं होगी, इसके लिए किसी प्रकार के वीपीएन या आंतरिक पहुंच की आवश्यकता होगी।"
एएसएफ सुरक्षा प्रतिक्रिया टीम ने कहा, किसी भी स्थिति में, कंपनियों को कदम उठाना चाहिए और OfBiz का उपयोग करने के लिए ज्ञात किसी भी एप्लिकेशन को नवीनतम संस्करण में पैच करना चाहिए।
"अपाचे ओएफबीज़ का उपयोग करने वाली कंपनियों के लिए हमारी सिफारिश सुरक्षा सर्वोत्तम प्रथाओं का पालन करना है, जिसमें केवल उन उपयोगकर्ताओं को सिस्टम तक पहुंच प्रदान करना शामिल है जिन्हें इसकी आवश्यकता है, अपने सॉफ़्टवेयर को नियमित रूप से अपडेट करना सुनिश्चित करें, और यह सुनिश्चित करें कि सुरक्षा के दौरान प्रतिक्रिया देने के लिए आप अच्छी तरह से सुसज्जित हैं एडवाइजरी प्रकाशित हो चुकी है,'' उन्होंने कहा।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches
- :है
- :नहीं
- $यूपी
- 100
- 14
- 17
- 2020
- 2022
- 24
- 26% तक
- 41
- 7
- a
- बिल्कुल
- पहुँच
- अनुसार
- पाना
- अभिनेताओं
- अतिरिक्त
- सलाहकार
- लग जाना
- के खिलाफ
- की अनुमति देता है
- अकेला
- पहले ही
- भी
- an
- विश्लेषण
- विश्लेषण किया
- का विश्लेषण
- और
- जवाब
- कोई
- अपाचे
- आवेदन
- अनुप्रयोगों
- आर्किटेक्ट
- हैं
- क्षेत्र
- चारों ओर
- AS
- ASF
- At
- आक्रमण
- प्रयास
- ध्यान
- प्रमाणीकरण
- जागरूक
- BE
- क्योंकि
- किया गया
- से पहले
- जा रहा है
- माना
- BEST
- सर्वोत्तम प्रथाओं
- के छात्रों
- गुच्छा
- लेकिन
- by
- उपमार्ग
- कर सकते हैं
- कारण
- श्रृंखला
- चार्ट
- करने के लिए चुना
- कोड
- कंपनियों
- कंपनी
- व्यापक
- जारी रखने के
- योगदान
- सका
- साइबर सुरक्षा
- खतरों
- अंधेरा
- डार्क रीडिंग
- दिन
- व्यवहार
- दिसम्बर
- का फैसला किया
- दीपक
- निर्भर
- वर्णित
- मुश्किल
- डीआईजी
- निदेशक
- प्रकटीकरण
- की खोज
- किया
- डगलस
- तैयार
- से प्रत्येक
- प्रयासों
- endpoint
- उद्यम
- ईआरपी (ERP)
- कार्यक्रम
- उदाहरण
- निष्पादित
- कार्यकारी
- कार्यकारी निदेशक
- मौजूद
- उम्मीद
- शोषण करना
- शोषण
- शोषित
- कारनामे
- अतिरिक्त
- आंखें
- कारक
- कारकों
- असफल
- विफल रहे
- आकृति
- खोज
- फर्म
- पांच
- फिक्स
- स्थिर
- दोष
- ध्यान केंद्रित
- का पालन करें
- के लिए
- जालसाजी
- पाया
- बुनियाद
- ढांचा
- से
- पूरी तरह से
- गाओ
- देते
- जा
- गूगल
- समूह
- समूह की
- था
- हुआ
- हो जाता
- कठिन
- कड़ी मेहनत
- है
- he
- यहाँ उत्पन्न करें
- हाइलाइट
- घंटे
- एचटीएमएल
- HTTPS
- विशाल
- i
- पहचान
- if
- की छवि
- तत्काल
- प्रभाव
- in
- घटना
- सहित
- तेजी
- करें-
- इंफ्रास्ट्रक्चर
- इंटरफेस
- आंतरिक
- में
- प्रतिसाद नहीं
- मुद्दा
- जारी किए गए
- मुद्दों
- IT
- आईटी इस
- जेपीजी
- केवल
- बच्चा
- जानने वाला
- ताज़ा
- शुभारंभ
- पुस्तकालय
- संभावित
- पंक्तियां
- देखिए
- लॉट
- बनाया गया
- मेलिंग
- निर्माण
- कामयाब
- प्रबंधक
- बहुत
- मई..
- सदस्य
- लाखों
- चुक गया
- शमन
- अधिक
- संकीर्ण
- आवश्यकता
- नेटवर्क
- नहीं
- अभी
- अनेक
- of
- अक्सर
- oh
- on
- एक बार
- ONE
- केवल
- खोला
- or
- मूल
- मौलिक रूप से
- अन्य
- हमारी
- आउट
- के ऊपर
- भाग
- पैच
- पैच
- पैच
- परिप्रेक्ष्य
- की योजना बना
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- बिन्दु
- लोकप्रिय
- प्रथाओं
- वर्तमान
- को रोकने के
- पहले से
- पूर्व
- प्राथमिकता
- मुसीबत
- समस्याओं
- परियोजना
- होनहार
- अच्छी तरह
- रक्षा करना
- बशर्ते
- सार्वजनिक
- प्रकाशित
- प्रशन
- बल्कि
- पढ़ना
- वास्तविक
- कारण
- सिफारिश
- नियमित तौर पर
- सम्बंधित
- रिहा
- को रिहा
- रहना
- दूर से
- हटाया
- हटाने
- रिपोर्ट
- की सूचना दी
- का अनुरोध
- की आवश्यकता होती है
- अपेक्षित
- अनुसंधान
- शोधकर्ता
- शोधकर्ताओं
- संसाधन
- प्रतिक्रिया
- प्रतिक्रिया
- परिणाम
- सही
- चट्टान
- जड़
- s
- कहा
- वही
- कहना
- कहावत
- कहते हैं
- खरोंच
- संवीक्षा
- दूसरा
- सुरक्षा
- वरिष्ठ
- संवेदनशील
- कई
- Share
- चाहिए
- महत्वपूर्ण
- सरल
- केवल
- के बाद से
- एक
- छह
- सॉफ्टवेयर
- सॉफ्टवेयर आपूर्ति श्रृंखला
- ठोस
- कुछ
- कोई
- कुछ
- स्रोत
- Spot
- प्रारंभ
- कदम
- फिर भी
- स्ट्रेटेजी
- सफलतापूर्वक
- आपूर्ति
- आपूर्ति श्रृंखला
- निश्चित
- सिस्टम
- टैग
- लेना
- लक्ष्य
- लक्षित
- टीम
- से
- कि
- RSI
- लेकिन हाल ही
- वहाँ।
- वे
- इसका
- उन
- धमकी
- खतरों के खिलाड़ी
- यहाँ
- इस प्रकार
- बार
- सेवा मेरे
- दो
- टाइप
- ठेठ
- रेखांकित
- समझ
- दुर्भाग्य से
- अज्ञात
- अपडेट
- अद्यतन
- उपयोग
- उपयोगकर्ताओं
- का उपयोग करता है
- का उपयोग
- Ve
- संस्करण
- वीपीएन
- कमजोरियों
- भेद्यता
- था
- मार्ग..
- तरीके
- we
- कमज़ोर
- थे
- क्या
- कब
- या
- कौन कौन से
- पूरा का पूरा
- क्यों
- बड़े पैमाने पर
- साथ में
- अंदर
- काम
- होगा
- एक्सएमएल
- आप
- आपका
- स्वयं
- जेफिरनेट