Apache ERP Zero-Day evidenzia i pericoli legati alle patch incomplete

Gruppi sconosciuti hanno lanciato indagini contro una vulnerabilità zero-day identificata nel framework ERP (Enterprise Resource Planning) OfBiz di Apache, una strategia sempre più popolare di analisi delle patch per individuare modi per aggirare le correzioni del software.

La vulnerabilità 0-day (CVE-2023-51467) in Apache OFBiz, reso noto il 26 dicembre, consente a un utente malintenzionato di accedere a informazioni sensibili ed eseguire in remoto codice contro applicazioni che utilizzano il framework ERP, secondo un'analisi della società di sicurezza informatica SonicWall. L'Apache Software Foundation aveva originariamente rilasciato una patch per un problema correlato, CVE-2023-49070, ma la correzione non è riuscita a proteggere da altre varianti dell'attacco.

L'incidente evidenzia la strategia degli aggressori di esaminare attentamente tutte le patch rilasciate per vulnerabilità di alto valore, sforzi che spesso portano a trovare modi per aggirare le correzioni del software, afferma Douglas McKee, direttore esecutivo della ricerca sulle minacce presso SonicWall.

"Una volta che qualcuno ha fatto il duro lavoro di dire: 'Oh, qui esiste una vulnerabilità', ora un intero gruppo di ricercatori o autori di minacce può esaminare quell'unico punto ristretto e in un certo senso ti sei aperto a un controllo molto più accurato ," lui dice. "Hai attirato l'attenzione su quell'area del codice e, se la tua patch non è solida come la roccia o è mancato qualcosa, è più probabile che venga trovata perché hai più occhi su di essa."

Il ricercatore di SonicWall Hasib Vhora ha analizzato la patch del 5 dicembre e ha scoperto ulteriori modi per sfruttare il problema, che la società ha segnalato alla Apache Software Foundation il 14 dicembre. 

"Siamo rimasti incuriositi dalla mitigazione scelta durante l'analisi della patch per CVE-2023-49070 e sospettavamo che il vero bypass dell'autenticazione sarebbe stato ancora presente poiché la patch rimuoveva semplicemente il codice XML RPC dall'applicazione," Vhora affermato in un’analisi della questione. "Di conseguenza, abbiamo deciso di scavare nel codice per capire la causa principale del problema di bypass di autenticazione."

Gli attacchi hanno preso di mira la vulnerabilità Apache OfBiz prima della sua divulgazione il 26 dicembre. Fonte: Sonicwall

Il 21 dicembre, cinque giorni prima che il problema venisse reso pubblico, SonicWall aveva già identificato tentativi di sfruttamento del problema. 

Patch imperfetta

Apache non è il solo a rilasciare una patch che gli aggressori sono riusciti a bypassare. Nel 2020, sei delle 24 vulnerabilità (25%) attaccate utilizzando exploit zero-day erano variazioni di problemi di sicurezza precedentemente corretti, secondo dati rilasciati dal Threat Analysis Group (TAG) di Google. Entro il 2022, 17 delle 41 vulnerabilità attaccate da exploit zero-day (41%) erano varianti di problemi precedentemente corretti, Google affermato in un’analisi aggiornata.

I motivi per cui le aziende non riescono a risolvere completamente un problema sono numerosi, dalla non comprensione della causa principale del problema alla gestione di enormi arretrati di vulnerabilità software al dare priorità a una patch immediata rispetto a una soluzione completa, afferma Jared Semrau, senior manager di Google Mandiant. gruppo di vulnerabilità e sfruttamento. 

“Non esiste una risposta semplice e univoca sul motivo per cui ciò accade”, afferma. "Ci sono diversi fattori che possono contribuire a [una patch incompleta], ma [i ricercatori di SonicWall] hanno assolutamente ragione: molte volte le aziende si limitano ad applicare patch al vettore di attacco noto."

Google si aspetta che la quota di exploit zero-day che prendono di mira vulnerabilità non completamente riparate rimanga un fattore significativo. Dal punto di vista dell’aggressore, trovare le vulnerabilità in un’applicazione è difficile perché i ricercatori e gli autori delle minacce devono esaminare centinaia di migliaia o milioni di righe di codice. Concentrandosi sulle vulnerabilità più promettenti che potrebbero non essere state risolte adeguatamente, gli aggressori possono continuare ad attaccare un punto debole noto anziché iniziare da zero.

Un modo per aggirare la correzione di OfBiz

In molti sensi, questo è quello che è successo con la vulnerabilità Apache OfBiz. Il rapporto originale descriveva due problemi: un difetto RCE che richiedeva l'accesso all'interfaccia XML-RPC (CVE-2023-49070) e un problema di bypass dell'autenticazione che forniva questo accesso ad aggressori non fidati. La Apache Software Foundation ritiene che la rimozione dell'endpoint XML-RPC impedirebbe lo sfruttamento di entrambi i problemi, ha affermato il team di risposta alla sicurezza di ASF in risposta alle domande di Dark Reading.

"Sfortunatamente non ci siamo accorti che lo stesso bypass di autenticazione ha interessato anche altri endpoint, non solo quello XML-RPC", ha affermato il team. "Una volta informati, la seconda patch è stata rilasciata nel giro di poche ore."

La vulnerabilità, tracciata da Apache come OFBIZ-12873, "consente agli aggressori di aggirare l'autenticazione per ottenere una semplice falsificazione di richieste lato server (SSRF)", Deepak Dixit, membro della Apache Software Foundation, indicato nella mailing list di Openwall. Ha attribuito al ricercatore sulle minacce SonicWall Hasib Vhora e ad altri due ricercatori, Gao Tian e L0ne1y, il merito di aver individuato il problema.

Poiché OfBiz è un framework e quindi parte della catena di fornitura del software, l’impatto della vulnerabilità potrebbe essere diffuso. Il popolare progetto Atlassian Jira e il software di tracciamento dei problemi, ad esempio, utilizzano la libreria OfBiz, ma non è ancora noto se l'exploit possa essere eseguito con successo sulla piattaforma, afferma McKee di Sonicwall.

"Dipende dal modo in cui ciascuna azienda progetta la propria rete e dal modo in cui configura il software", afferma. "Direi che un'infrastruttura tipica non dovrebbe avere questa connessione a Internet e richiederebbe un qualche tipo di VPN o accesso interno."

In ogni caso, le aziende dovrebbero prendere provvedimenti e aggiornare tutte le applicazioni note per utilizzare OfBiz alla versione più recente, ha affermato il team di risposta alla sicurezza di ASF. 

"La nostra raccomandazione per le aziende che utilizzano Apache OFBiz è di seguire le migliori pratiche di sicurezza, incluso fornire l'accesso ai sistemi solo agli utenti che ne hanno bisogno, assicurandosi di aggiornare regolarmente il software e di essere ben attrezzati per rispondere quando un problema di sicurezza l’avviso è pubblicato”, hanno detto.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches