Apache ERP Zero-Day understreker farene ved ufullstendige oppdateringer

Apache ERP Zero-Day understreker farene ved ufullstendige oppdateringer

Tidsstempel: 4. januar 2024 4:00

Ukjente grupper har lansert sonder mot en null-dagers sårbarhet identifisert i Apaches OfBiz Enterprise Resource Planning (ERP)-rammeverk – en stadig mer populær strategi for å analysere patcher for måter å omgå programvarefikser.

0-dagers sårbarhet (CVE-2023-51467) i Apache OFBiz, avslørt 26. desember, lar en angriper få tilgang til sensitiv informasjon og eksternt kjøre kode mot applikasjoner som bruker ERP-rammeverket, ifølge en analyse fra nettsikkerhetsfirmaet SonicWall. Apache Software Foundation hadde opprinnelig gitt ut en oppdatering for et relatert problem, CVE-2023-49070, men rettelsen klarte ikke å beskytte mot andre varianter av angrepet.

Hendelsen fremhever angripernes strategi for å granske eventuelle patcher som er utgitt for sårbarheter med høy verdi - innsats som ofte resulterer i å finne måter rundt programvarefikser, sier Douglas McKee, administrerende direktør for trusselforskning hos SonicWall.

«Når noen har gjort det harde arbeidet med å si «Å, det finnes en sårbarhet her», nå kan en hel haug med forskere eller trusselaktører se på det ene trange stedet, og du har på en måte åpnet deg for mye mer gransking ," han sier. "Du har trukket oppmerksomhet til det kodeområdet, og hvis oppdateringen din ikke er bunnsolid eller noe ble savnet, er det mer sannsynlig at den blir funnet fordi du har ekstra øyne på den."

SonicWall-forsker Hasib Vhora analyserte 5. desember-oppdateringen og oppdaget flere måter å utnytte problemet på, som selskapet rapporterte til Apache Software Foundation 14. desember. 

"Vi var fascinert av den valgte avbøtningen da vi analyserte oppdateringen for CVE-2023-49070 og mistenkte at den virkelige autentiseringsomgangen fortsatt ville være til stede siden oppdateringen ganske enkelt fjernet XML RPC-koden fra applikasjonen," Vhora opplyst i en analyse av problemstillingen. "Som et resultat bestemte vi oss for å grave i koden for å finne ut årsaken til auth-bypass-problemet."

Diagram over utnyttelsesforsøk for CVE-2023-51467

Angrep var rettet mot Apache OfBiz-sårbarheten før avsløringen den 26. desember. Kilde: Sonicwall

Innen 21. desember, fem dager før problemet ble offentliggjort, hadde SonicWall allerede identifisert forsøk på utnyttelse av problemet. 

Patch Imperfect

Apache er ikke alene om å gi ut en oppdatering som angripere har klart å omgå. I 2020 var seks av de 24 sårbarhetene (25 %) som ble angrepet ved bruk av nulldagers utnyttelser variasjoner på tidligere oppdatering av sikkerhetsproblemer, ifølge data utgitt av Googles Threat Analysis Group (TAG). I 2022 var 17 av de 41 sårbarhetene angrepet av nulldagers utnyttelser (41 %) varianter av tidligere korrigerte problemer, Google oppgitt i en oppdatert analyse.

Årsakene til at selskaper ikke klarer å korrigere et problem er mange, fra å ikke forstå årsaken til problemet til å håndtere store etterslep av programvaresårbarheter til å prioritere en umiddelbar oppdatering fremfor en omfattende løsning, sier Jared Semrau, seniorleder i Google Mandiant's sårbarhets- og utnyttelsesgruppe. 

"Det er ikke noe enkelt, enkelt svar på hvorfor dette skjer," sier han. "Det er flere faktorer som kan bidra til [en ufullstendig oppdatering], men [SonicWall-forskere] har helt rett - mange ganger retter selskaper bare den kjente angrepsvektoren."

Google forventer at andelen av nulldagers utnyttelser som retter seg mot ufullstendig korrigerte sårbarheter forblir en betydelig faktor. Fra angriperperspektivet er det vanskelig å finne sårbarheter i en applikasjon fordi forskere og trusselaktører må se gjennom 100,000 XNUMX eller millioner av kodelinjer. Ved å fokusere på lovende sårbarheter som kanskje ikke har blitt rettet på riktig måte, kan angripere fortsette å angripe et kjent svakt punkt i stedet for å starte fra bunnen av.

En vei rundt OfBiz Fix

På mange måter er det det som skjedde med Apache OfBiz-sårbarheten. Den opprinnelige rapporten beskrev to problemer: en RCE-feil som krevde tilgang til XML-RPC-grensesnittet (CVE-2023-49070) og et autentiseringsomkjøringsproblem som ga upålitelige angripere denne tilgangen. Apache Software Foundation mente at fjerning av XML-RPC-endepunktet ville forhindre at begge problemene ble utnyttet, sa ASFs sikkerhetsresponsteam et svar på spørsmål fra Dark Reading.

"Dessverre gikk vi glipp av at den samme autentiseringsomgåelsen også påvirket andre endepunkter, ikke bare XML-RPC-en," sa teamet. "Når vi ble gjort oppmerksomme, ble den andre oppdateringen utstedt i løpet av timer."

Sårbarheten, sporet av Apache som OFBIZ-12873, " lar angripere omgå autentisering for å oppnå en enkel Server-Side Request Forgery (SSRF)," Deepak Dixit, medlem av Apache Software Foundation, oppgitt på Openwall-postlisten. Han krediterte SonicWall-trusselsforsker Hasib Vhora og to andre forskere - Gao Tian og L0ne1y - for å finne problemet.

Fordi OfBiz er et rammeverk, og dermed en del av programvareforsyningskjeden, kan virkningen av sårbarheten være utbredt. Det populære Atlassian Jira-prosjektet og problemsporingsprogramvaren bruker for eksempel OfBiz-biblioteket, men hvorvidt utnyttelsen kunne utføres på plattformen er fortsatt ukjent, sier Sonicwalls McKee.

"Det kommer til å avhenge av måten hvert selskap bygger nettverket sitt på, hvordan de konfigurerer programvaren," sier han. "Jeg vil si at en typisk infrastruktur ikke vil ha denne Internett-vendt, at den vil kreve en slags VPN eller intern tilgang."

Uansett bør selskaper ta skritt og lappe alle applikasjoner som er kjent for å bruke OfBiz til den nyeste versjonen, sa ASFs sikkerhetsresponsteam. 

"Vår anbefaling til selskaper som bruker Apache OFBiz er å følge beste praksis for sikkerhet, inkludert bare å gi tilgang til systemer til de brukerne som trenger det, sørge for å oppdatere programvaren din regelmessig og sørge for at du er godt rustet til å svare når en sikkerhet råd er publisert," sa de.

Tidstempel:

Mer fra Mørk lesning