Az Apache ERP Zero-Day rámutat a hiányos javítások veszélyére

Az Apache ERP Zero-Day rámutat a hiányos javítások veszélyére

Időbélyeg: 4. január 2024. 4:00

Ismeretlen csoportok vizsgálatokat indítottak az Apache OfBiz vállalati erőforrás-tervezési (ERP) keretrendszerében azonosított nulladik napi sebezhetőség ellen – ez egy egyre népszerűbb stratégia a javítások elemzésére a szoftverjavítások megkerülésére.

A 0 napos sebezhetőség (CVE-2023-51467) A SonicWall kiberbiztonsági cég elemzése szerint az Apache OFBiz-ben, amelyet december 26-án tettek közzé, lehetővé teszi a támadók számára, hogy hozzáférjenek érzékeny információkhoz, és távolról kódot hajtsanak végre az ERP-keretrendszert használó alkalmazások ellen. Az Apache Software Foundation eredetileg kiadott egy javítást egy kapcsolódó problémára, a CVE-2023-49070-re, de a javítás nem tudott védelmet nyújtani a támadás egyéb változatai ellen.

Az incidens rávilágít a támadók azon stratégiájára, hogy minden kiadott javítást alaposan megvizsgálnak a nagy értékű sebezhetőségek miatt – ez az erőfeszítés gyakran a szoftverjavítások kiküszöbölésére vezet – mondta Douglas McKee, a SonicWall fenyegetéskutatási részlegének ügyvezető igazgatója.

"Miután valaki elvégezte azt a kemény munkát, hogy azt mondja: "Ó, itt van egy sebezhetőség", most egy csomó kutató vagy fenyegetettség szereplője láthatja ezt az egyetlen szűk pontot, és Ön sokkal több vizsgálat előtt állhat. ," mondja. "Felhívta a figyelmet a kód ezen területére, és ha a javítás nem sziklaszilárd, vagy valami kimaradt, akkor nagyobb valószínűséggel találják meg, mert extra szemmel nézel rá."

A SonicWall kutatója, Hasib Vhora elemezte a december 5-i javítást, és további módszereket fedezett fel a probléma kihasználására, amelyet a cég december 14-én jelentett az Apache Software Foundation-nek. 

„A CVE-2023-49070 javításának elemzésekor felkeltette az érdeklődésünket a választott csökkentés, és azt gyanítottuk, hogy a valódi hitelesítési megkerülő továbbra is jelen lesz, mivel a javítás egyszerűen eltávolította az XML RPC kódot az alkalmazásból” – mondta Vhora. áll a kérdés elemzésében. „Ennek eredményeként úgy döntöttünk, hogy beleásunk a kódba, hogy kiderítsük a hitelesítés-bypass probléma kiváltó okát.”

A CVE-2023-51467 kihasználási kísérleteinek diagramja

A támadások az Apache OfBiz sebezhetőségét célozták annak december 26-i közzététele előtt. Forrás: Sonicwall

December 21-én, öt nappal a probléma nyilvánosságra hozatala előtt, a SonicWall már azonosította a probléma hasznosítási kísérleteit. 

Patch Imperfect

Az Apache nem egyedül ad ki egy javítást, amelyet a támadóknak sikerült megkerülniük. 2020-ban a nulladik napi exploitokkal támadott 24 sebezhetőség közül hat (25%) a korábban kijavított biztonsági problémák változata volt. a Google fenyegetéselemző csoportja (TAG) által közzétett adatok. 2022-re a nulladik napi exploit által megtámadott 17 sebezhetőség közül 41 (41%) korábban javított problémák változata volt, a Google – áll egy frissített elemzésben.

Számos oka lehet annak, hogy a vállalatok nem tudják teljesen kijavítani a problémát, kezdve a probléma kiváltó okának nem értésétől a szoftveres sebezhetőségek hatalmas lemaradásán át az azonnali javítás elsőbbségéig az átfogó javítással szemben – mondja Jared Semrau, a Google Mandiant vezető menedzsere. sebezhetőség és kizsákmányolás csoportja. 

„Nincs egyszerű, egyetlen válasz arra, hogy miért történik ez” – mondja. "Több tényező is hozzájárulhat [egy hiányos javításhoz], de [a SonicWall kutatóinak] teljesen igazuk van – sokszor a cégek csak az ismert támadási vektort foltozzák."

A Google arra számít, hogy a hiányosan kijavított sebezhetőségeket célzó nulladik napi kizsákmányolások aránya továbbra is jelentős tényező marad. A támadók szemszögéből nézve egy alkalmazás sebezhetőségét nehéz megtalálni, mert a kutatóknak és a fenyegetés szereplőinek 100,000 XNUMX vagy több millió kódsoron kell keresztülnézniük. Ha az ígéretes, esetleg nem megfelelően javított sebezhetőségekre összpontosít, a támadók továbbra is megtámadhatják az ismert gyenge pontot, ahelyett, hogy a nulláról kezdenék.

Út a Biz-javítás körül

Sok szempontból ez történt az Apache OfBiz sebezhetőségével. Az eredeti jelentés két problémát írt le: egy RCE-hibát, amely hozzáférést igényelt az XML-RPC interfészhez (CVE-2023-49070), valamint egy hitelesítési megkerülési problémát, amely a nem megbízható támadók számára biztosította ezt a hozzáférést. Az Apache Software Foundation úgy vélte, hogy az XML-RPC végpont eltávolítása megakadályozza mindkét probléma kihasználását – közölte az ASF biztonsági válaszcsapata a Dark Reading kérdéseire válaszolva.

"Sajnos nem vettük észre, hogy ugyanaz a hitelesítési megkerülő más végpontokat is érintett, nem csak az XML-RPC-t" - mondta a csapat. "Miután tudomásunkra jutott, órákon belül kiadták a második javítást."

Az Apache által OFBIZ-12873 néven nyomon követett sebezhetőség „lehetővé teszi a támadók számára, hogy megkerüljék a hitelesítést, hogy egyszerű szerveroldali kéréshamisítást (SSRF) érjenek el”, Deepak Dixit, az Apache Software Foundation tagja. szerepel az Openwall levelezőlistáján. A probléma megtalálásában a SonicWall fenyegetéskutatója, Hasib Vhora és két másik kutató – Gao Tian és L0ne1y – tulajdonította.

Mivel az OfBiz egy keretrendszer, és így a szoftverellátási lánc része, a sérülékenység hatása széles körben elterjedhet. A népszerű Atlassian Jira projekt és problémakövető szoftver például az OfBiz könyvtárat használja, de az, hogy az exploit sikeresen végrehajtható-e a platformon, még mindig nem ismert, mondja a Sonicwall McKee.

„Ez attól függ, hogy az egyes vállalatok hogyan építik fel hálózatukat, és hogyan konfigurálják a szoftvert” – mondja. „Azt mondanám, hogy egy tipikus infrastruktúrában nem lenne ilyen internetre néző, hanem valamilyen VPN-t vagy belső hozzáférést igényelne.”

A cégeknek minden esetben lépéseket kell tenniük, és javítaniuk kell az OfBiz-t használó alkalmazásokat a legújabb verzióra – mondta az ASF biztonsági válaszcsapata. 

„Az Apache OFBiz-t használó vállalatoknak azt javasoljuk, hogy kövessék a biztonsági bevált gyakorlatokat, beleértve a rendszerhez való hozzáférést csak azoknak a felhasználóknak, akiknek szükségük van rá, ügyelve a szoftverek rendszeres frissítésére, valamint arra, hogy megfelelően felkészülten tudjanak reagálni, ha egy biztonsági probléma. tájékoztatót tesznek közzé” – mondták.

Időbélyeg:

Még több Sötét olvasmány