Apache ERP Zero-Day Menggarisbawahi Bahaya Patch yang Tidak Lengkap

Kelompok tak dikenal telah meluncurkan penyelidikan terhadap kerentanan zero-day yang diidentifikasi dalam kerangka perencanaan sumber daya perusahaan (ERP) OfBiz Apache — sebuah strategi yang semakin populer dalam menganalisis patch untuk mencari cara melewati perbaikan perangkat lunak.

Kerentanan 0 hari (CVE-2023-51467) di Apache OFBiz, diungkapkan pada 26 Desember, memungkinkan penyerang mengakses informasi sensitif dan mengeksekusi kode dari jarak jauh terhadap aplikasi yang menggunakan kerangka ERP, menurut analisis oleh perusahaan keamanan siber SonicWall. Apache Software Foundation awalnya merilis patch untuk masalah terkait, CVE-2023-49070, tetapi perbaikan tersebut gagal melindungi dari variasi serangan lainnya.

Insiden ini menyoroti strategi penyerang dalam memeriksa setiap patch yang dirilis untuk menemukan kerentanan bernilai tinggi – upaya yang sering kali menghasilkan penemuan cara mengatasi perbaikan perangkat lunak, kata Douglas McKee, direktur eksekutif penelitian ancaman di SonicWall.

“Setelah seseorang bekerja keras untuk mengatakan, 'Oh, ada kerentanan di sini,' kini sejumlah besar peneliti atau pelaku ancaman dapat melihat satu titik sempit tersebut, dan Anda telah membuka diri terhadap lebih banyak pengawasan. ," dia berkata. “Anda telah menarik perhatian ke area kode tersebut, dan jika patch Anda tidak solid atau ada sesuatu yang terlewat, kemungkinan besar patch tersebut akan ditemukan karena Anda lebih memperhatikannya.”

Peneliti SonicWall Hasib Vhora menganalisis patch pada 5 Desember dan menemukan cara tambahan untuk mengeksploitasi masalah tersebut, yang kemudian dilaporkan oleh perusahaan tersebut ke Apache Software Foundation pada 14 Desember. 

“Kami tertarik dengan mitigasi yang dipilih saat menganalisis patch untuk CVE-2023-49070 dan menduga bypass autentikasi yang sebenarnya masih ada karena patch tersebut hanya menghapus kode XML RPC dari aplikasi,” Vhora dinyatakan dalam analisis masalah. “Sebagai hasilnya, kami memutuskan untuk menggali lebih dalam kode tersebut untuk mencari tahu akar penyebab masalah bypass autentikasi.”

Serangan menargetkan kerentanan Apache OfBiz sebelum pengungkapannya pada 26 Desember. Sumber: Sonicwall

Pada tanggal 21 Desember, lima hari sebelum masalah ini dipublikasikan, SonicWall telah mengidentifikasi upaya eksploitasi untuk masalah tersebut. 

Tambalan Tidak Sempurna

Apache tidak sendirian dalam merilis patch yang berhasil dilewati oleh penyerang. Pada tahun 2020, enam dari 24 kerentanan (25%) yang diserang menggunakan eksploitasi zero-day merupakan variasi dari masalah keamanan yang telah ditambal sebelumnya, menurut data yang dirilis oleh Grup Analisis Ancaman (TAG) Google. Pada tahun 2022, 17 dari 41 kerentanan yang diserang oleh eksploitasi zero-day (41%) merupakan varian dari masalah yang telah ditambal sebelumnya, Google dinyatakan dalam analisis terkini.

Ada banyak alasan mengapa perusahaan gagal memperbaiki suatu masalah secara menyeluruh, mulai dari tidak memahami akar penyebab masalah, menghadapi tumpukan besar kerentanan perangkat lunak, hingga memprioritaskan perbaikan segera dibandingkan perbaikan menyeluruh, kata Jared Semrau, manajer senior di Google Mandiant. kelompok kerentanan dan eksploitasi. 

“Tidak ada jawaban yang sederhana dan pasti mengapa hal ini terjadi,” katanya. “Ada beberapa faktor yang dapat menyebabkan [tambalan yang tidak lengkap], namun [peneliti SonicWall] benar sekali — sering kali perusahaan hanya menambal vektor serangan yang diketahui.”

Google memperkirakan bahwa jumlah eksploitasi zero-day yang menargetkan kerentanan yang belum ditambal secara lengkap akan tetap menjadi faktor yang signifikan. Dari sudut pandang penyerang, sulit menemukan kerentanan dalam suatu aplikasi karena peneliti dan pelaku ancaman harus menelusuri 100,000 atau jutaan baris kode. Dengan berfokus pada kerentanan yang menjanjikan yang mungkin belum ditambal dengan benar, penyerang dapat terus menyerang titik lemah yang diketahui daripada memulai dari awal.

Sebuah Jalan Mengatasi Perbaikan OfBiz

Dalam banyak hal, itulah yang terjadi dengan kerentanan Apache OfBiz. Laporan asli menjelaskan dua masalah: cacat RCE yang memerlukan akses ke antarmuka XML-RPC (CVE-2023-49070) dan masalah bypass autentikasi yang memberikan akses ini kepada penyerang yang tidak tepercaya. Apache Software Foundation percaya bahwa menghapus titik akhir XML-RPC akan mencegah kedua masalah tersebut dieksploitasi, tim respons keamanan ASF mengatakan tanggapan atas pertanyaan dari Dark Reading.

“Sayangnya kami melewatkan bahwa bypass otentikasi yang sama juga mempengaruhi titik akhir lainnya, bukan hanya titik akhir XML-RPC,” kata tim tersebut. “Setelah kami diberi tahu, patch kedua dikeluarkan dalam beberapa jam.”

Kerentanannya, yang dilacak oleh Apache sebagai OFBIZ-12873, “memungkinkan penyerang melewati otentikasi untuk mencapai Pemalsuan Permintaan Sisi Server (SSRF) yang sederhana,” Deepak Dixit, anggota di Apache Software Foundation, dinyatakan di milis Openwall. Dia memuji peneliti ancaman SonicWall Hasib Vhora dan dua peneliti lainnya – Gao Tian dan L0ne1y – yang menemukan masalah ini.

Karena OfBiz adalah sebuah kerangka kerja, dan dengan demikian merupakan bagian dari rantai pasokan perangkat lunak, dampak kerentanan dapat meluas. Proyek Atlassian Jira yang populer dan perangkat lunak pelacakan masalah, misalnya, menggunakan perpustakaan OfBiz, tetapi apakah eksploitasi tersebut dapat berhasil dijalankan pada platform masih belum diketahui, kata McKee dari Sonicwall.

“Hal ini akan bergantung pada cara masing-masing perusahaan merancang jaringannya, cara mereka mengonfigurasi perangkat lunaknya,” katanya. “Menurut saya, infrastruktur pada umumnya tidak bisa mengakses Internet seperti ini, sehingga memerlukan beberapa jenis VPN atau akses internal.”

Dalam keadaan apa pun, perusahaan harus mengambil langkah-langkah dan menambal aplikasi apa pun yang diketahui menggunakan OfBiz ke versi terbaru, kata tim respons keamanan ASF. 

“Rekomendasi kami bagi perusahaan yang menggunakan Apache OFBiz adalah mengikuti praktik terbaik keamanan, termasuk hanya memberikan akses ke sistem kepada pengguna yang membutuhkannya, memastikan untuk memperbarui perangkat lunak Anda secara rutin, dan memastikan Anda siap untuk merespons ketika ada masalah keamanan. penasehat diterbitkan,” kata mereka.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches