קבוצות לא ידועות השיקו בדיקות נגד פגיעות של יום אפס שזוהתה במסגרת תכנון המשאבים הארגוניים של Apache (ERP) של Apache - אסטרטגיה פופולרית יותר ויותר של ניתוח תיקונים לדרכים לעקוף תיקוני תוכנה.
הפגיעות של 0 ימים (CVE-2023-51467) ב- Apache OFBiz, שנחשף ב-26 בדצמבר, מאפשר לתוקף לגשת למידע רגיש ולהפעיל מרחוק קוד מול יישומים באמצעות מסגרת ה-ERP, על פי ניתוח של חברת אבטחת הסייבר SonicWall. קרן תוכנת Apache פרסמה במקור תיקון לבעיה קשורה, CVE-2023-49070, אך התיקון לא הצליח להגן מפני וריאציות אחרות של המתקפה.
התקרית מדגישה את האסטרטגיה של התוקפים לבחון בקפידה כל תיקון ששוחרר לאיתור פגיעויות בעלות ערך גבוה - מאמצים שלעתים קרובות מביאים למציאת דרכים לעקוף תיקוני תוכנה, אומר דאגלס מקי, מנהל חקר איומים ב-SonicWall.
"ברגע שמישהו עשה את העבודה הקשה לומר, 'אה, קיימת כאן פגיעות', עכשיו חבורה שלמה של חוקרים או שחקני איומים יכולים להסתכל על הנקודה הצרה האחת הזו, וקצת פתחת את עצמך להרבה יותר בדיקה ," הוא אומר. "משכת את תשומת הלב לאזור הקוד הזה, ואם התיקון שלך לא מוצק או שמשהו התפספס, סביר יותר שהוא יימצא כי יש לך עיניים נוספות עליו."
חוקר SonicWall Hasib Vhora ניתח את התיקון של 5 בדצמבר וגילה דרכים נוספות לנצל את הבעיה, עליה דיווחה החברה ל- Apache Software Foundation ב-14 בדצמבר.
"הסתקרנו מההקלה שנבחרה בעת ניתוח התיקון עבור CVE-2023-49070 וחשדנו שמעקף האימות האמיתי עדיין יהיה קיים מכיוון שהתיקון פשוט הסיר את קוד XML RPC מהאפליקציה," Vhora נאמר בניתוח הנושא. "כתוצאה מכך, החלטנו לחפור בקוד כדי להבין את שורש הבעיה של מעקף ההרשאה."
התקפות כוונו לפגיעות Apache OfBiz לפני החשיפה שלה ב-26 בדצמבר. מקור: Sonicwall
עד 21 בדצמבר, חמישה ימים לפני פרסום הנושא, SonicWall כבר זיהתה ניסיונות ניצול לבעיה.
תיקון לא מושלם
אפאצ'י לא לבד בשחרור תיקון שתוקפים הצליחו לעקוף. בשנת 2020, שש מתוך 24 נקודות התורפה (25%) שהותקפו באמצעות ניצול של יום אפס היו וריאציות על בעיות אבטחה שתוקנו בעבר, לפי נתונים שפורסמו על ידי קבוצת ניתוח האיומים של גוגל (TAG). עד 2022, 17 מתוך 41 נקודות התורפה שהותקפו על ידי ניצול של יום אפס (41%) היו גרסאות של בעיות שתוקנו בעבר, Google נאמר בניתוח מעודכן.
הסיבות לכך שחברות לא מצליחות לתקן בעיה מלאה הן רבות, מחוסר הבנה של שורש הבעיה ועד להתמודדות עם צבר עצום של פגיעויות תוכנה ועד לתעדוף תיקון מיידי על פני תיקון מקיף, אומר ג'ארד סמראו, מנהל בכיר ב-Google Mandiant's קבוצת פגיעות וניצול.
"אין תשובה פשוטה ויחידה מדוע זה קורה", הוא אומר. "יש כמה גורמים שיכולים לתרום ל[תיקון לא שלם], אבל [חוקרי SonicWall] צודקים לחלוטין - הרבה פעמים חברות פשוט מתקנות את וקטור ההתקפה הידוע."
גוגל צופה שהנתח של ניצול של יום אפס המכוון לפרצות שלא תוקנו לחלוטין יישאר גורם משמעותי. מנקודת המבט של התוקף, קשה למצוא פגיעויות באפליקציה מכיוון שחוקרים ושחקני איומים צריכים להסתכל דרך 100,000 או מיליוני שורות קוד. על ידי התמקדות בנקודות תורפה מבטיחות שאולי לא תוקנו כראוי, התוקפים יכולים להמשיך לתקוף נקודת תורפה ידועה במקום להתחיל מאפס.
תיקון דרך אוףBiz
במובנים רבים, זה מה שקרה עם הפגיעות של Apache OfBiz. הדוח המקורי תיאר שתי בעיות: פגם ב-RCE שדרש גישה לממשק XML-RPC (CVE-2023-49070) ובעיית עקיפת אימות שסיפקה לתוקפים לא מהימנים גישה זו. קרן התוכנה Apache האמינה שהסרת נקודת הקצה XML-RPC תמנע את ניצול שתי הבעיות, צוות תגובת האבטחה של ASF מסר תגובה לשאלות מ-Dark Reading.
"למרבה הצער פספסנו שאותו מעקף אימות השפיע גם על נקודות קצה אחרות, לא רק על ה-XML-RPC", אמר הצוות. "ברגע שנודע לנו, התיקון השני הונפק תוך שעות."
הפגיעות, שמעקבה אפאצ'י כ-OFBIZ-12873, "מאפשרת לתוקפים לעקוף את האימות כדי להשיג זיוף פשוט של בקשת צד שרת (SSRF)," דיפאק דיקסיט, חבר בקרן תוכנת אפאצ'י, מופיע ברשימת התפוצה של Openwall. הוא זיכה את חוקר האיומים של SonicWall Hasib Vhora ושני חוקרים נוספים - Gao Tian ו-L0ne1y - עם מציאת הבעיה.
מכיוון ש- OfBiz היא מסגרת, ולפיכך חלק משרשרת אספקת התוכנה, ההשפעה של הפגיעות עלולה להיות נרחבת. הפרויקט הפופולרי של Atlassian Jira ותוכנת מעקב אחר בעיות, למשל, משתמש בספריית OfBiz, אך האם הניצול יכול להתבצע בהצלחה בפלטפורמה עדיין לא ידוע, אומר McKee של Sonicwall.
"זה יהיה תלוי באופן שבו כל חברה מעצבת את הרשת שלה, באופן שבו היא תגדיר את התוכנה", הוא אומר. "הייתי אומר שלתשתית טיפוסית לא תהיה גישה כזו לאינטרנט, שהיא תדרוש סוג כלשהו של VPN או גישה פנימית."
בכל מקרה, חברות צריכות לנקוט בצעדים ולתקן כל אפליקציה שידועה בשימוש ב-OfBiz לגרסה העדכנית ביותר, אמר צוות תגובת האבטחה של ASF.
"ההמלצה שלנו לחברות המשתמשות ב-Apache OFBiz היא לעקוב אחר שיטות אבטחה מומלצות, כולל רק מתן גישה למערכות לאותם משתמשים הזקוקים לכך, הקפדה על עדכון שוטף של התוכנה שלך, וודא שאתה מצויד היטב להגיב כאשר אבטחה הייעוץ מתפרסם", אמרו.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches
- :הוא
- :לֹא
- $ למעלה
- 100
- 14
- 17
- 2020
- 2022
- 24
- 26%
- 41
- 7
- a
- בהחלט
- גישה
- פי
- להשיג
- שחקנים
- נוסף
- ייעוץ
- מושפע
- נגד
- מאפשר
- לבד
- כְּבָר
- גם
- an
- אנליזה
- מְנוּתָח
- ניתוח
- ו
- לענות
- כל
- אַפָּשׁ
- בקשה
- יישומים
- אדריכלים
- ARE
- AREA
- סביב
- AS
- ASF
- At
- לתקוף
- ניסיונות
- תשומת לב
- אימות
- מודע
- BE
- כי
- היה
- לפני
- להיות
- האמין
- הטוב ביותר
- שיטות עבודה מומלצות
- שניהם
- צרור
- אבל
- by
- לעקוף
- CAN
- לגרום
- שרשרת
- תרשים
- נבחר
- קוד
- חברות
- חברה
- מַקִיף
- להמשיך
- לתרום
- יכול
- אבטחת סייבר
- סכנות
- כהה
- קריאה אפלה
- ימים
- התמודדות
- דצמבר
- החליט
- דיפאק
- לסמוך
- מְתוּאָר
- קשה
- לחפור
- מְנַהֵל
- חשיפה
- גילה
- עשה
- דאגלס
- נמשך
- כל אחד
- מַאֲמָצִים
- נקודת קצה
- מִפְעָל
- ה-ERP
- אירוע
- דוגמה
- לבצע
- מנהלים
- מנכ"ל
- קיים
- מצפה
- לנצל
- ניצול
- ומנוצל
- מעללים
- נוסף
- עיניים
- גורם
- גורמים
- FAIL
- נכשל
- תרשים
- מציאת
- פירמה
- חמש
- לסדר
- תיקוני
- פגם
- התמקדות
- לעקוב
- בעד
- זיוף
- מצא
- קרן
- מסגרת
- החל מ-
- לגמרי
- GAO
- נתינה
- הולך
- קְבוּצָה
- קבוצה
- היה
- קרה
- קורה
- קשה
- עבודה קשה
- יש
- he
- כאן
- פסים
- שעות
- HTML
- HTTPS
- עצום
- i
- מזוהה
- if
- תמונה
- מיידי
- פְּגִיעָה
- in
- תקרית
- כולל
- יותר ויותר
- מידע
- תשתית
- מִמְשָׁק
- פנימי
- אל תוך
- J States
- סוגיה
- הפיקו
- בעיות
- IT
- שֶׁלָה
- jpg
- רק
- סוג
- ידוע
- האחרון
- הושק
- סִפְרִיָה
- סביר
- קווים
- נראה
- מגרש
- עשוי
- דיוור
- עשייה
- הצליח
- מנהל
- רב
- מאי..
- חבר
- מיליונים
- החטיא
- הֲקָלָה
- יותר
- צר
- צורך
- רשת
- לא
- עַכשָׁיו
- רב
- of
- לעתים קרובות
- oh
- on
- פעם
- ONE
- רק
- נפתח
- or
- מְקוֹרִי
- בְּמָקוֹר
- אחר
- שלנו
- הַחוּצָה
- יותר
- חלק
- תיקון
- טלאים
- תיקון
- פרספקטיבה
- תכנון
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- פופולרי
- פרקטיקות
- להציג
- למנוע
- קוֹדֶם
- קודם
- סדר עדיפויות
- בעיה
- בעיות
- פּרוֹיֶקט
- מבטיח
- כמו שצריך
- להגן
- ובלבד
- ציבורי
- לאור
- שאלות
- במקום
- קריאה
- ממשי
- סיבות
- המלצה
- באופן קבוע
- קָשׁוּר
- שוחרר
- שחרור
- להשאר
- מרחוק
- הוסר
- הסרת
- לדווח
- דווח
- לבקש
- לדרוש
- נדרש
- מחקר
- חוקר
- חוקרים
- משאב
- להגיב
- תגובה
- תוצאה
- תקין
- סלע
- שורש
- s
- אמר
- אותו
- לומר
- אמר
- אומר
- לגרד
- בדיקה
- שְׁנִיָה
- אבטחה
- לחצני מצוקה לפנסיונרים
- רגיש
- כמה
- שיתוף
- צריך
- משמעותי
- פָּשׁוּט
- בפשטות
- since
- יחיד
- שישה
- תוכנה
- שרשרת אספקת תוכנה
- מוצק
- כמה
- מישהו
- משהו
- מָקוֹר
- מסחרי
- התחלה
- צעדים
- עוד
- אִסטרָטֶגִיָה
- בהצלחה
- לספק
- שרשרת אספקה
- בטוח
- מערכות
- תָג
- לקחת
- יעד
- ממוקד
- נבחרת
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- שם.
- הֵם
- זֶה
- אלה
- איום
- איום שחקנים
- דרך
- כָּך
- פִּי
- ל
- שתיים
- סוג
- טיפוסי
- קו תחתון
- הבנה
- לצערי
- לא ידוע
- עדכון
- מְעוּדכָּן
- להשתמש
- משתמשים
- שימושים
- באמצעות
- Ve
- גרסה
- VPN
- פגיעויות
- פגיעות
- היה
- דֶרֶך..
- דרכים
- we
- חלש
- היו
- מה
- מתי
- אם
- אשר
- כל
- למה
- נָפוֹץ
- עם
- בתוך
- תיק עבודות
- היה
- XML
- אתה
- עצמך
- זפירנט