Apache ERP ゼロデイ アンダースコアの不完全なパッチの危険性

未知のグループが、Apache の OfBiz エンタープライズ リソース プランニング (ERP) フレームワークで特定されたゼロデイ脆弱性に対する調査を開始しました。このフレームワークは、ソフトウェア修正をバイパスする方法を見つけるためにパッチを分析する戦略であり、ますます人気が高まっています。

ゼロデイ脆弱性 （CVE-2023-51467） サイバーセキュリティ企業 SonicWall の分析によると、26 月 2023 日に公開された Apache OFBiz の脆弱性により、攻撃者は機密情報にアクセスし、ERP フレームワークを使用してアプリケーションに対してリモートでコードを実行できます。 Apache Software Foundation は当初、関連問題 CVE-49070-XNUMX に対するパッチをリリースしていましたが、この修正では他のバリエーションの攻撃から保護できませんでした。

このインシデントは、価値の高い脆弱性に対してリリースされたパッチを精査するという攻撃者の戦略を浮き彫りにしています。その取り組みは、多くの場合、ソフトウェア修正を回避する方法を見つける結果になります、と SonicWall の脅威調査担当エグゼクティブ ディレクターであるダグラス マッキー氏は述べています。

「誰かが『ああ、ここに脆弱性が存在する』と言う大変な作業を終えると、大勢の研究者や脅威アクターがその狭い箇所に注目できるようになり、ある意味、より多くの監視にさらされることになります。 」と彼は言います。 「コードのその領域に注目を集めました。パッチがしっかりしていないか、何かが欠けていたとしても、そこに注目しているため、発見される可能性が高くなります。」

SonicWallの研究者Hasib Vhora氏は5月14日のパッチを分析し、この問題を悪用する追加の方法を発見し、同社はXNUMX月XNUMX日にApache Software Foundationに報告した。 

「私たちは CVE-2023-49070 のパッチを分析するときに選択された緩和策に興味をそそられ、パッチは単にアプリケーションから XML RPC コードを削除しただけなので、実際の認証バイパスがまだ存在するのではないかと疑いました。」と Vhora 氏は言います。 問題の分析で述べられています。 「その結果、認証バイパス問題の根本原因を解明するためにコードを詳しく調査することにしました。」

攻撃は、26 月 XNUMX 日の公開に先立って、Apache OfBiz の脆弱性を標的としたものでした。出典: ソニックウォール

問題が公表される 21 日前である XNUMX 月 XNUMX 日までに、SonicWall はすでにこの問題に対する悪用の試みを特定していました。 

パッチが不完全

攻撃者が回避できたパッチをリリースしたのは Apache だけではありません。によると、2020 年にゼロデイ エクスプロイトを使用して攻撃された 24 件の脆弱性のうち 25 件 (XNUMX%) は、以前にパッチが適用されたセキュリティ問題の亜種でした。 Google の脅威分析グループ (TAG) が公開したデータ。 2022 年までに、ゼロデイ エクスプロイトによって攻撃された 17 件の脆弱性のうち 41 件 (41%) は、以前にパッチが適用された問題の亜種だった、と Google 最新の分析で述べられています.

Google Mandiant のシニア マネージャー、Jared Semrau 氏によると、企業が問題のパッチを完全に適用できない理由は、問題の根本原因を理解していないことから、ソフトウェアの脆弱性の膨大な未処理の処理に対処すること、包括的な修正よりも即時パッチを優先することまで、数多くあります。脆弱性と悪用グループ。 

「なぜこのようなことが起こるのかについて、単純かつ単一の答えはありません」と彼は言います。 「[不完全なパッチ] の一因となる可能性のある要因はいくつかありますが、[SonicWall 研究者] は完全に正しいです。多くの場合、企業は既知の攻撃ベクトルにパッチを適用しているだけです。」

Google は、パッチが不完全に適用された脆弱性を標的としたゼロデイ エクスプロイトの割合が引き続き重要な要素であると予想しています。攻撃者の観点から見ると、研究者や攻撃者は 100,000 万行または数百万行のコードを調べる必要があるため、アプリケーションの脆弱性を見つけることは困難です。適切にパッチが当てられていない可能性のある潜在的な脆弱性に焦点を当てることで、攻撃者は最初から攻撃を開始するのではなく、既知の弱点を攻撃し続けることができます。

ビジネスの修正を回避する方法

多くの意味で、これが Apache OfBiz の脆弱性で起こったことです。元のレポートでは、XML-RPC インターフェイスへのアクセスを必要とする RCE の欠陥 (CVE-2023-49070) と、信頼できない攻撃者にこのアクセスを提供する認証バイパスの問題の XNUMX つの問題について説明していました。 ASF セキュリティ対応チームは Dark Reading からの質問への回答で、Apache Software Foundation は XML-RPC エンドポイントを削除することで両方の問題が悪用されるのを防ぐことができると考えていたと述べています。

「残念ながら、同じ認証バイパスが XML-RPC エンドポイントだけでなく他のエンドポイントにも影響を与えることを見逃していました」とチームは述べています。 「私たちがそれを認識すると、数時間以内に 2 番目のパッチが発行されました。」

Apache によって OFBIZ-12873 として追跡されているこの脆弱性により、「攻撃者は認証を回避して単純なサーバーサイド リクエスト フォージェリ (SSRF) を実行できます」と Apache Software Foundation のメンバーである Deepak Dixit 氏は述べています。 Openwall メーリング リストに記載されている。同氏は、SonicWall の脅威研究者である Hasib Vhora 氏と、他の 0 人の研究者 (Gao Tian 氏と L1neXNUMXy 氏) がこの問題を発見した功績を認めています。

OfBiz はフレームワークであり、ソフトウェア サプライ チェーンの一部であるため、脆弱性の影響は広範囲に及ぶ可能性があります。たとえば、人気のある Atlassian Jira プロジェクトや問題追跡ソフトウェアは OfBiz ライブラリを使用していますが、このエクスプロイトがプラットフォーム上で正常に実行できるかどうかはまだ不明だと Sonicwall の McKee 氏は述べています。

「それは、各企業がネットワークを構築する方法や、ソフトウェアを構成する方法によって異なります」と彼は言います。 「一般的なインフラストラクチャにはこのようなインターネット接続はなく、何らかの種類の VPN または内部アクセスが必要になると思います。」

いずれにせよ、企業は措置を講じ、OfBizを使用することが知られているアプリケーションに最新バージョンにパッチを適用する必要があるとASFセキュリティ対応チームは述べた。 

「Apache OFBiz を使用する企業に対する当社の推奨事項は、必要なユーザーにのみシステムへのアクセスを許可すること、ソフトウェアを定期的に更新すること、セキュリティ障害が発生した場合に対応する準備が整っていることを確認することなど、セキュリティのベスト プラクティスに従うことです。勧告が公表されている」と彼らは述べた。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches