Apache ERP 제로데이, 불완전한 패치의 위험성 강조

알려지지 않은 그룹이 Apache의 OfBiz ERP(전사적 자원 관리) 프레임워크에서 식별된 제로데이 취약점에 대한 조사를 시작했습니다. 이는 소프트웨어 수정 사항을 우회하는 방법을 찾기 위해 패치를 분석하는 전략으로 점점 인기를 얻고 있습니다.

제로데이 취약점 (CVE-2023-51467) 사이버 보안 회사인 SonicWall의 분석에 따르면, 26월 2023일에 공개된 Apache OFBiz에서는 공격자가 ERP 프레임워크를 사용하는 애플리케이션에 대해 민감한 정보에 액세스하고 원격으로 코드를 실행할 수 있도록 허용합니다. Apache Software Foundation은 원래 관련 문제인 CVE-49070-XNUMX에 대한 패치를 출시했지만 수정 사항은 다른 변형 공격으로부터 보호하지 못했습니다.

SonicWall의 위협 연구 전무이사인 Douglas McKee는 이번 사건은 높은 가치의 취약점에 대해 출시된 모든 패치를 면밀히 조사하려는 공격자의 전략을 강조합니다. 이러한 노력은 종종 소프트웨어 수정을 피할 수 있는 방법을 찾는 결과를 낳습니다.

“누군가가 '아, 여기에 취약점이 존재합니다'라고 말하면서 힘든 작업을 마치면 이제 많은 연구원이나 위협 행위자가 그 좁은 지점을 볼 수 있으며 훨씬 더 자세히 조사할 수 있게 됩니다. "라고 그는 말합니다. "당신은 해당 코드 영역에 관심을 끌었습니다. 패치가 견고하지 않거나 뭔가 누락된 경우에는 추가 감시가 있기 때문에 발견될 가능성이 더 높습니다."

SonicWall 연구원 Hasib Vhora는 5월 14일 패치를 분석하여 이 문제를 악용할 수 있는 추가 방법을 발견했으며, 이 회사는 XNUMX월 XNUMX일 Apache Software Foundation에 이를 보고했습니다. 

"우리는 CVE-2023-49070에 대한 패치를 분석할 때 선택된 완화에 흥미를 느꼈고 패치가 단순히 애플리케이션에서 XML RPC 코드를 제거했기 때문에 실제 인증 우회가 여전히 존재할 것이라고 의심했습니다."라고 Vhora 문제 분석에서 언급된. "결과적으로 우리는 인증 우회 문제의 근본 원인을 파악하기 위해 코드를 조사하기로 결정했습니다."

공격은 26월 XNUMX일 공개되기 전의 Apache OfBiz 취약점을 표적으로 삼았습니다. 출처: Sonicwall

문제가 공개되기 21일 전인 XNUMX월 XNUMX일까지 SonicWall은 이미 이 문제에 대한 악용 시도를 확인했습니다. 

패치가 불완전하다

공격자가 우회할 수 있는 패치를 발표한 것은 Apache만이 아닙니다. 2020년에 제로데이 익스플로잇을 사용하여 공격된 취약점 24개 중 25개(XNUMX%)는 이전에 패치된 보안 문제의 변형이었습니다. Google의 위협 분석 그룹(TAG)에서 공개한 데이터. 2022년까지 제로데이 익스플로잇으로 공격받은 취약점 17개 중 41개(41%)는 이전에 패치된 문제의 변형이었습니다. 업데이트된 분석에 명시됨.

Google Mandiant 수석 관리자인 Jared Semrau는 기업이 문제를 완전히 패치하지 못하는 이유는 문제의 근본 원인을 이해하지 못하는 것부터 엄청난 양의 소프트웨어 취약점 처리 백로그를 처리하는 것, 포괄적인 수정보다 즉각적인 패치를 우선시하는 것까지 다양하다고 말합니다. 취약점 및 착취 그룹. 

“왜 이런 일이 발생하는지에 대한 간단하고 단 하나의 대답은 없습니다.”라고 그는 말합니다. "[불완전한 패치]에 영향을 미칠 수 있는 몇 가지 요소가 있지만 [SonicWall 연구원]의 의견은 절대적으로 옳습니다. 많은 경우 회사는 알려진 공격 벡터를 패치하는 것뿐입니다."

Google은 불완전하게 패치된 취약점을 표적으로 삼는 제로데이 익스플로잇의 비율이 여전히 중요한 요인으로 남아 있을 것으로 예상합니다. 공격자의 관점에서 볼 때, 연구원과 위협 행위자는 100,000만 또는 수백만 줄의 코드를 조사해야 하기 때문에 애플리케이션에서 취약점을 찾는 것이 어렵습니다. 제대로 패치되지 않았을 수 있는 유망한 취약점에 집중함으로써 공격자는 처음부터 시작하는 대신 알려진 약점을 계속 공격할 수 있습니다.

OfBiz Fix의 방법

여러 면에서 이것이 Apache OfBiz 취약점에서 발생한 일입니다. 원본 보고서에는 XML-RPC 인터페이스(CVE-2023-49070)에 대한 액세스가 필요한 RCE 결함과 신뢰할 수 없는 공격자에게 이러한 액세스 권한을 제공하는 인증 우회 문제라는 두 가지 문제가 설명되어 있습니다. Apache Software Foundation은 XML-RPC 엔드포인트를 제거하면 두 가지 문제가 모두 악용되는 것을 방지할 수 있다고 믿었다고 ASF 보안 대응 팀은 Dark Reading의 질문에 대한 답변을 밝혔습니다.

“안타깝게도 우리는 동일한 인증 우회가 XML-RPC 엔드포인트뿐만 아니라 다른 엔드포인트에도 영향을 미친다는 사실을 놓쳤습니다.”라고 팀은 말했습니다. “우리가 이를 인지한 후 몇 시간 내에 두 번째 패치가 배포되었습니다.”

Apache가 OFBIZ-12873으로 추적한 이 취약점은 "공격자가 인증을 우회하여 간단한 SSRF(서버측 요청 위조)를 달성할 수 있도록 허용합니다"라고 Apache Software Foundation 회원인 Deepak Dixit는 말했습니다. Openwall 메일링 리스트에 명시됨. 그는 SonicWall 위협 연구원인 Hasib Vhora와 다른 두 연구원인 Gao Tian과 L0ne1y가 이 문제를 발견한 공로를 인정했습니다.

OfBiz는 프레임워크이고 소프트웨어 공급망의 일부이기 때문에 취약점의 영향은 광범위할 수 있습니다. 예를 들어 인기 있는 Atlassian Jira 프로젝트와 문제 추적 소프트웨어는 OfBiz 라이브러리를 사용하지만 해당 플랫폼에서 익스플로잇이 성공적으로 실행될 수 있는지 여부는 아직 알려지지 않았다고 Sonicwall의 McKee는 말합니다.

“각 회사가 네트워크를 설계하는 방식, 소프트웨어를 구성하는 방식에 따라 달라질 것입니다.”라고 그는 말합니다. “일반적인 인프라에는 인터넷에 연결되어 있지 않으며 일종의 VPN이나 ​​내부 액세스가 필요하다고 말하고 싶습니다.”

어떤 경우에도 기업은 OfBiz를 사용하는 것으로 알려진 모든 애플리케이션을 최신 버전으로 패치해야 한다고 ASF 보안 대응팀은 말했습니다. 

“Apache OFBiz를 사용하는 기업에 대한 우리의 권장 사항은 필요한 사용자에게만 시스템에 대한 액세스 권한을 부여하고, 소프트웨어를 정기적으로 업데이트하고, 보안 문제가 발생했을 때 대응할 수 있는 장비를 갖추는 것을 포함하여 보안 모범 사례를 따르는 것입니다. 권고사항이 발표됐다”고 말했다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches