अपाचे ईआरपी जीरो-डे अधूरे पैच के खतरों को रेखांकित करता है

अपाचे ईआरपी जीरो-डे अधूरे पैच के खतरों को रेखांकित करता है

समय टिकट: 4 जनवरी, 2024 शाम 4:00 बजे

अज्ञात समूहों ने अपाचे के ऑफ़बीज़ एंटरप्राइज़ रिसोर्स प्लानिंग (ईआरपी) ढांचे में पहचानी गई शून्य-दिन की भेद्यता के खिलाफ जांच शुरू की है - सॉफ्टवेयर फिक्स को बायपास करने के तरीकों के लिए पैच का विश्लेषण करने की एक तेजी से लोकप्रिय रणनीति।

0-दिन की भेद्यता (CVE-2023-51467) साइबर सुरक्षा फर्म सोनिकवॉल के एक विश्लेषण के अनुसार, अपाचे ओएफबीज़ में, 26 दिसंबर को खुलासा किया गया, एक हमलावर को संवेदनशील जानकारी तक पहुंचने और ईआरपी ढांचे का उपयोग करके अनुप्रयोगों के खिलाफ कोड को दूरस्थ रूप से निष्पादित करने की अनुमति देता है। अपाचे सॉफ्टवेयर फाउंडेशन ने मूल रूप से संबंधित मुद्दे, सीवीई-2023-49070 के लिए एक पैच जारी किया था, लेकिन यह फिक्स हमले के अन्य रूपों से बचाने में विफल रहा।

सोनिकवॉल में खतरा अनुसंधान के कार्यकारी निदेशक डगलस मैककी का कहना है कि यह घटना उच्च-मूल्य की कमजोरियों के लिए जारी किए गए किसी भी पैच की जांच करने की हमलावरों की रणनीति पर प्रकाश डालती है - ऐसे प्रयास जिनके परिणामस्वरूप अक्सर सॉफ़्टवेयर फिक्स के तरीके ढूंढे जाते हैं।

"एक बार जब किसी ने यह कहने की कड़ी मेहनत की, 'ओह, यहां एक भेद्यता मौजूद है,' अब शोधकर्ताओं या धमकी देने वाले अभिनेताओं का एक पूरा समूह उस एक संकीर्ण स्थान को देख सकता है, और आपने खुद को बहुत अधिक जांच के लिए खोल दिया है ," वह कहता है। "आपने कोड के उस क्षेत्र पर ध्यान आकर्षित किया है, और यदि आपका पैच ठोस नहीं है या कुछ छूट गया है, तो इसके पाए जाने की अधिक संभावना है क्योंकि आपकी इस पर अतिरिक्त नजर है।"

सोनिकवॉल के शोधकर्ता हसीब वोरा ने 5 दिसंबर के पैच का विश्लेषण किया और समस्या का फायदा उठाने के अतिरिक्त तरीकों की खोज की, जिसकी रिपोर्ट कंपनी ने 14 दिसंबर को अपाचे सॉफ्टवेयर फाउंडेशन को दी। 

"सीवीई-2023-49070 के लिए पैच का विश्लेषण करते समय हम चुने गए शमन से चकित थे और संदेह था कि वास्तविक प्रमाणीकरण बाईपास अभी भी मौजूद होगा क्योंकि पैच ने एप्लिकेशन से एक्सएमएल आरपीसी कोड को हटा दिया था," वोरा मुद्दे के विश्लेषण में कहा गया है. "परिणामस्वरूप, हमने ऑथ-बायपास समस्या के मूल कारण का पता लगाने के लिए कोड की गहराई से जांच करने का निर्णय लिया।"

CVE-2023-51467 के लिए शोषण प्रयासों का चार्ट

26 दिसंबर के खुलासे से पहले हमलों ने Apache OfBiz की भेद्यता को लक्षित किया। स्रोत: सोनिकवॉल

21 दिसंबर तक, मुद्दे के सार्वजनिक होने से पांच दिन पहले, सोनिकवॉल ने पहले ही इस मुद्दे के शोषण के प्रयासों की पहचान कर ली थी। 

पैच अपूर्ण

पैच जारी करने में अपाचे अकेला नहीं है जिसे हमलावर बायपास करने में कामयाब रहे हैं। 2020 में, शून्य-दिन के कारनामों का उपयोग करके हमला किए गए 24 कमजोरियों (25%) में से छह पहले से पैच किए गए सुरक्षा मुद्दों पर भिन्नताएं थीं। Google के ख़तरा विश्लेषण समूह (TAG) द्वारा जारी किया गया डेटा. 2022 तक, शून्य-दिन के कारनामों (17%) द्वारा हमला की गई 41 कमजोरियों में से 41 पहले से पैच किए गए मुद्दों पर भिन्न थीं, Google एक अद्यतन विश्लेषण में कहा गया है.

गूगल मैंडिएंट के वरिष्ठ प्रबंधक जेरेड सेमराउ का कहना है कि कंपनियों द्वारा किसी समस्या को पूरी तरह से ठीक करने में असफल होने के कई कारण हैं, जिनमें समस्या के मूल कारण को न समझ पाना, सॉफ्टवेयर की कमजोरियों के भारी बैकलॉग से निपटना और व्यापक समाधान के स्थान पर तत्काल पैच को प्राथमिकता देना शामिल है। भेद्यता और शोषण समूह. 

वे कहते हैं, ''ऐसा क्यों होता है इसका कोई सरल, एकल उत्तर नहीं है।'' "ऐसे कई कारक हैं जो [अपूर्ण पैच] में योगदान दे सकते हैं, लेकिन [सोनिकवॉल शोधकर्ता] बिल्कुल सही हैं - कई बार कंपनियां केवल ज्ञात आक्रमण वेक्टर को पैच कर रही हैं।"

Google को उम्मीद है कि अपूर्ण रूप से पैच की गई कमजोरियों को लक्षित करने वाले शून्य-दिन के कारनामे का हिस्सा एक महत्वपूर्ण कारक बना रहेगा। हमलावर के दृष्टिकोण से, किसी एप्लिकेशन में कमजोरियों को ढूंढना मुश्किल है क्योंकि शोधकर्ताओं और खतरे वाले अभिनेताओं को कोड की 100,000 या लाखों पंक्तियों को देखना पड़ता है। आशाजनक कमजोरियों पर ध्यान केंद्रित करके जिन्हें ठीक से ठीक नहीं किया गया है, हमलावर खरोंच से शुरू करने के बजाय ज्ञात कमजोर बिंदु पर हमला करना जारी रख सकते हैं।

ऑफ़बिज़ फिक्स के इर्द-गिर्द एक रास्ता

कई मायनों में, Apache OfBiz भेद्यता के साथ यही हुआ है। मूल रिपोर्ट में दो समस्याओं का वर्णन किया गया है: एक आरसीई दोष जिसके लिए XML-RPC इंटरफ़ेस (CVE-2023-49070) तक पहुंच की आवश्यकता होती है और एक प्रमाणीकरण बाईपास समस्या जो अविश्वसनीय हमलावरों को यह पहुंच प्रदान करती है। एएसएफ सुरक्षा प्रतिक्रिया टीम ने डार्क रीडिंग के सवालों के जवाब में कहा कि अपाचे सॉफ्टवेयर फाउंडेशन का मानना ​​​​है कि एक्सएमएल-आरपीसी एंडपॉइंट को हटाने से दोनों मुद्दों का शोषण होने से रोका जा सकेगा।

टीम ने कहा, "दुर्भाग्य से हम चूक गए कि उसी प्रमाणीकरण बाईपास ने केवल XML-RPC को ही नहीं, बल्कि अन्य समापन बिंदुओं को भी प्रभावित किया।" "एक बार जब हमें अवगत कराया गया, तो दूसरा पैच कुछ ही घंटों में जारी कर दिया गया।"

अपाचे द्वारा OFBIZ-12873 के रूप में ट्रैक की गई भेद्यता, "हमलावरों को सरल सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) प्राप्त करने के लिए प्रमाणीकरण को बायपास करने की अनुमति देती है," अपाचे सॉफ्टवेयर फाउंडेशन के सदस्य दीपक दीक्षित ने कहा। ओपनवॉल मेलिंग सूची में कहा गया है. उन्होंने इस मुद्दे को खोजने के लिए सोनिकवॉल खतरे के शोधकर्ता हसीब वोरा और दो अन्य शोधकर्ताओं - गाओ तियान और एल0ने1य को श्रेय दिया।

क्योंकि OfBiz एक ढांचा है, और इस प्रकार सॉफ़्टवेयर आपूर्ति श्रृंखला का हिस्सा है, भेद्यता का प्रभाव व्यापक हो सकता है। उदाहरण के लिए, लोकप्रिय एटलसियन जिरा प्रोजेक्ट और इश्यू-ट्रैकिंग सॉफ़्टवेयर, ऑफबिज़ लाइब्रेरी का उपयोग करता है, लेकिन क्या शोषण प्लेटफ़ॉर्म पर सफलतापूर्वक निष्पादित हो सकता है, यह अभी भी अज्ञात है, सोनिकवॉल के मैकी का कहना है।

वह कहते हैं, "यह इस बात पर निर्भर करेगा कि प्रत्येक कंपनी अपने नेटवर्क को किस तरह से तैयार करती है, किस तरह से सॉफ्टवेयर को कॉन्फ़िगर करती है।" "मैं कहूंगा कि एक सामान्य बुनियादी ढांचे में यह इंटरनेट-फेसिंग नहीं होगी, इसके लिए किसी प्रकार के वीपीएन या आंतरिक पहुंच की आवश्यकता होगी।"

एएसएफ सुरक्षा प्रतिक्रिया टीम ने कहा, किसी भी स्थिति में, कंपनियों को कदम उठाना चाहिए और OfBiz का उपयोग करने के लिए ज्ञात किसी भी एप्लिकेशन को नवीनतम संस्करण में पैच करना चाहिए। 

"अपाचे ओएफबीज़ का उपयोग करने वाली कंपनियों के लिए हमारी सिफारिश सुरक्षा सर्वोत्तम प्रथाओं का पालन करना है, जिसमें केवल उन उपयोगकर्ताओं को सिस्टम तक पहुंच प्रदान करना शामिल है जिन्हें इसकी आवश्यकता है, अपने सॉफ़्टवेयर को नियमित रूप से अपडेट करना सुनिश्चित करें, और यह सुनिश्चित करें कि सुरक्षा के दौरान प्रतिक्रिया देने के लिए आप अच्छी तरह से सुसज्जित हैं एडवाइजरी प्रकाशित हो चुकी है,'' उन्होंने कहा।

समय टिकट:

से अधिक डार्क रीडिंग