Apache ERP Zero-Day onderstreept de gevaren van onvolledige patches

Onbekende groepen hebben onderzoeken gelanceerd tegen een zero-day-kwetsbaarheid die is geïdentificeerd in Apache's OfBiz enterprise resource planning (ERP)-framework - een steeds populairder wordende strategie voor het analyseren van patches op manieren om softwarefixes te omzeilen.

De 0-day-kwetsbaarheid (CVE-2023-51467) in Apache OFBiz, bekendgemaakt op 26 december, stelt een aanvaller in staat toegang te krijgen tot gevoelige informatie en op afstand code uit te voeren tegen applicaties die het ERP-framework gebruiken, volgens een analyse van cyberbeveiligingsbedrijf SonicWall. De Apache Software Foundation had oorspronkelijk een patch uitgebracht voor een gerelateerd probleem, CVE-2023-49070, maar de oplossing bood geen bescherming tegen andere varianten van de aanval.

Het incident benadrukt de strategie van aanvallers om uitgebrachte patches op waardevolle kwetsbaarheden te onderzoeken – inspanningen die vaak resulteren in het vinden van manieren om softwarefixes te omzeilen, zegt Douglas McKee, uitvoerend directeur van bedreigingsonderzoek bij SonicWall.

“Als iemand eenmaal het harde werk heeft gedaan om te zeggen: ‘O, er bestaat hier een kwetsbaarheid’, kunnen een hele groep onderzoekers of bedreigingsactoren naar dat ene smalle plekje kijken, en heb je jezelf een beetje opengesteld voor veel meer onderzoek. ," hij zegt. "Je hebt de aandacht gevestigd op dat codegebied, en als je patch niet helemaal solide is of als er iets is gemist, is de kans groter dat deze wordt gevonden omdat je er extra aandacht aan besteedt."

SonicWall-onderzoeker Hasib Vhora analyseerde de patch van 5 december en ontdekte aanvullende manieren om het probleem te misbruiken, wat het bedrijf op 14 december aan de Apache Software Foundation rapporteerde. 

“We waren geïntrigeerd door de gekozen oplossing bij het analyseren van de patch voor CVE-2023-49070 en vermoedden dat de echte authenticatie-bypass nog steeds aanwezig zou zijn, aangezien de patch eenvoudigweg de XML RPC-code uit de applicatie verwijderde”, zegt Vhora. vermeld in een analyse van het probleem. “Als gevolg hiervan hebben we besloten om in de code te duiken om de hoofdoorzaak van het auth-bypass-probleem te achterhalen.”

Aanvallen waren gericht op de Apache OfBiz-kwetsbaarheid vóór de openbaarmaking ervan op 26 december. Bron: Sonicwall

Op 21 december, vijf dagen voordat het probleem openbaar werd gemaakt, had SonicWall al misbruikpogingen voor het probleem geïdentificeerd. 

Patch onvolmaakt

Apache is niet de enige die een patch uitbrengt die aanvallers hebben weten te omzeilen. In 2020 waren zes van de 24 kwetsbaarheden (25%) die werden aangevallen met zero-day exploits variaties op eerder gepatchte beveiligingsproblemen, aldus gegevens vrijgegeven door de Threat Analysis Group (TAG) van Google. In 2022 waren 17 van de 41 kwetsbaarheden die werden aangevallen door zero-day exploits (41%) varianten op eerder gepatchte problemen, zegt Google vermeld in een bijgewerkte analyse.

De redenen waarom bedrijven er niet in slagen een probleem volledig te patchen zijn talrijk: van het niet begrijpen van de hoofdoorzaak van het probleem, het omgaan met enorme achterstanden in softwarekwetsbaarheden, tot het voorrang geven aan een onmiddellijke patch boven een alomvattende oplossing, zegt Jared Semrau, een senior manager bij Google Mandiant. kwetsbaarheids- en uitbuitingsgroep. 

"Er is geen eenvoudig, eenduidig ​​antwoord op de vraag waarom dit gebeurt", zegt hij. “Er zijn verschillende factoren die kunnen bijdragen aan [een onvolledige patch], maar [SonicWall-onderzoekers] hebben volkomen gelijk: vaak patchen bedrijven alleen maar de bekende aanvalsvector.”

Google verwacht dat het aandeel zero-day exploits dat zich richt op onvolledig gepatchte kwetsbaarheden een belangrijke factor zal blijven. Vanuit het perspectief van de aanvaller is het vinden van kwetsbaarheden in een applicatie moeilijk omdat onderzoekers en bedreigingsactoren door honderden of miljoenen regels code moeten kijken. Door zich te concentreren op veelbelovende kwetsbaarheden die mogelijk niet goed zijn gepatcht, kunnen aanvallers een bekend zwak punt blijven aanvallen in plaats van helemaal opnieuw te beginnen.

Een manier om met Biz Fix om te gaan

In veel opzichten is dat wat er gebeurde met de Apache OfBiz-kwetsbaarheid. Het oorspronkelijke rapport beschreef twee problemen: een RCE-fout die toegang vereiste tot de XML-RPC-interface (CVE-2023-49070) en een probleem met het omzeilen van de authenticatie waardoor niet-vertrouwde aanvallers deze toegang kregen. De Apache Software Foundation was van mening dat het verwijderen van het XML-RPC-eindpunt zou voorkomen dat beide problemen zouden worden uitgebuit, aldus het ASF-beveiligingsreactieteam in een antwoord op vragen van Dark Reading.

“Helaas hebben we gemist dat dezelfde authenticatie-bypass ook andere eindpunten beïnvloedde, niet alleen de XML-RPC-eindpunten”, aldus het team. “Toen we hiervan op de hoogte waren, werd de tweede patch binnen enkele uren uitgegeven.”

De kwetsbaarheid, door Apache gevolgd als OFBIZ-12873, “stelt aanvallers in staat authenticatie te omzeilen om een ​​eenvoudige Server-Side Request Forgery (SSRF) te bewerkstelligen”, aldus Deepak Dixit, lid van de Apache Software Foundation, vermeld op de Openwall-mailinglijst. Hij gaf SonicWall-bedreigingsonderzoeker Hasib Vhora en twee andere onderzoekers – Gao Tian en L0ne1y – de eer om het probleem te vinden.

Omdat OfBiz een raamwerk is en dus onderdeel is van de softwaretoeleveringsketen, kan de impact van het beveiligingslek wijdverspreid zijn. De populaire Atlassian Jira-project- en issue-trackingsoftware maakt bijvoorbeeld gebruik van de OfBiz-bibliotheek, maar of de exploit met succes op het platform kan worden uitgevoerd is nog onbekend, zegt McKee van Sonicwall.

"Het zal afhangen van de manier waarop elk bedrijf zijn netwerk ontwerpt en de software configureert", zegt hij. “Ik zou zeggen dat een typische infrastructuur niet zo op internet gericht zou zijn, dat er een soort VPN of interne toegang voor nodig zou zijn.”

In ieder geval moeten bedrijven stappen ondernemen en alle applicaties waarvan bekend is dat ze OfBiz gebruiken, patchen naar de nieuwste versie, aldus het ASF-beveiligingsteam. 

“Onze aanbeveling voor bedrijven die Apache OFBiz gebruiken is om de best practices op het gebied van beveiliging te volgen, inclusief het alleen toegang geven tot systemen aan die gebruikers die dit nodig hebben, ervoor te zorgen dat u uw software regelmatig bijwerkt en ervoor zorgt dat u goed toegerust bent om te reageren wanneer een beveiligingsprobleem zich voordoet. advies wordt gepubliceerd”, zeiden ze.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches