Apache ERP Zero-Day podkreśla ryzyko związane z niekompletnymi poprawkami

Nieznane grupy uruchomiły sondy w celu wykrycia luki dnia zerowego zidentyfikowanej w platformie planowania zasobów przedsiębiorstwa OfBiz (ERP) firmy Apache — coraz popularniejszej strategii polegającej na analizowaniu poprawek w celu ominięcia poprawek oprogramowania.

Luka 0-day (CVE-2023-51467) Jak wynika z analizy przeprowadzonej przez firmę SonicWall zajmującą się cyberbezpieczeństwem, ujawniona 26 grudnia aplikacja Apache OFBiz umożliwia atakującemu uzyskanie dostępu do poufnych informacji i zdalne wykonanie kodu w aplikacjach korzystających z platformy ERP. Fundacja Apache Software Foundation pierwotnie wydała łatkę rozwiązującą powiązany problem, CVE-2023-49070, ale poprawka ta nie chroniła przed innymi odmianami ataku.

Incydent uwydatnia strategię osób atakujących polegającą na sprawdzaniu wszelkich wydanych łat pod kątem luk o dużej wartości – wysiłki te często kończą się znalezieniem sposobów na obejście poprawek oprogramowania, mówi Douglas McKee, dyrektor wykonawczy ds. badań zagrożeń w firmie SonicWall.

„Kiedy ktoś wykonał już ciężką pracę i powiedział: „Och, istnieje tu luka”, teraz cała grupa badaczy lub podmiotów zagrażających może przyjrzeć się temu jednemu wąskiemu punktowi, a ty w pewnym sensie otworzyłeś się na znacznie dokładniejszą analizę ," on mówi. „Zwróciłeś uwagę na ten obszar kodu i jeśli twoja łatka nie jest solidna lub coś zostało pominięte, jest bardziej prawdopodobne, że zostanie odnaleziona, ponieważ będziesz się jej przyglądał”.

Badacz SonicWall, Hasib Vhora, przeanalizował łatkę z 5 grudnia i odkrył dodatkowe sposoby wykorzystania problemu, o czym firma poinformowała Apache Software Foundation 14 grudnia. 

„Podczas analizowania poprawki dla CVE-2023-49070 zaintrygowały nas wybrane rozwiązania zaradcze i podejrzewaliśmy, że rzeczywiste obejście uwierzytelniania będzie nadal obecne, ponieważ łatka po prostu usunęła kod XML RPC z aplikacji” – Vhora – stwierdził w analizie problemu. „W rezultacie postanowiliśmy zagłębić się w kod, aby znaleźć podstawową przyczynę problemu z obejściem uwierzytelniania”.

Celem ataków była luka w Apache OfBiz przed jej ujawnieniem 26 grudnia. źródło: Sonicwall

Do 21 grudnia, pięć dni przed upublicznieniem problemu, firma SonicWall zidentyfikowała już próby wykorzystania tego problemu. 

Poprawka niedoskonała

Apache nie jest osamotniony w wydawaniu łatki, którą atakującym udało się ominąć. Według danych opublikowanych w 2020 r. sześć z 24 luk (25%) zaatakowanych przy użyciu exploitów dnia zerowego było odmianami wcześniej załatanych problemów bezpieczeństwa. dane opublikowane przez Google Threat Analysis Group (TAG). Google twierdzi, że do 2022 r. 17 z 41 luk zaatakowanych przez exploity dnia zerowego (41%) to warianty wcześniej załatanych problemów. stwierdzono w zaktualizowanej analizie.

Powodów, dla których firmom nie udaje się w pełni załatać problemu, jest wiele, począwszy od niezrozumienia pierwotnej przyczyny problemu, poprzez uporanie się z ogromnymi zaległościami w zakresie luk w zabezpieczeniach, po nadanie priorytetu natychmiastowej łatce zamiast kompleksowej poprawki, mówi Jared Semrau, starszy menedżer w dziale Google Mandiant grupa podatności i wykorzystania. 

„Nie ma prostej, jednej odpowiedzi na pytanie, dlaczego tak się dzieje” – mówi. „Istnieje kilka czynników, które mogą przyczynić się do [niekompletnej łatki], ale [badacze SonicWall] mają całkowitą rację — wiele razy firmy po prostu łatają znany wektor ataku”.

Google spodziewa się, że udział exploitów dnia zerowego, których celem są niekompletnie załatane luki, pozostanie istotnym czynnikiem. Z punktu widzenia atakującego znalezienie luk w aplikacjach jest trudne, ponieważ badacze i cyberprzestępcy muszą przeglądać 100,000 XNUMX lub miliony wierszy kodu. Koncentrując się na obiecujących lukach, które mogły nie zostać odpowiednio załatane, napastnicy mogą w dalszym ciągu atakować znane słabe punkty, zamiast zaczynać od zera.

Sposób na rozwiązanie problemu OfBiz

Pod wieloma względami właśnie tak się stało z luką Apache OfBiz. W oryginalnym raporcie opisano dwa problemy: lukę w RCE wymagającą dostępu do interfejsu XML-RPC (CVE-2023-49070) oraz problem z obejściem uwierzytelniania, który zapewniał ten dostęp niezaufanym atakującym. Fundacja Apache Software uważa, że ​​usunięcie punktu końcowego XML-RPC zapobiegnie wykorzystaniu obu problemów, stwierdził zespół ds. bezpieczeństwa ASF w odpowiedzi na pytania Dark Reading.

„Niestety przeoczyliśmy fakt, że to samo obejście uwierzytelnienia wpłynęło również na inne punkty końcowe, a nie tylko na XML-RPC” – stwierdził zespół. „Kiedy zostaliśmy o tym poinformowani, druga łatka została wydana w ciągu kilku godzin”.

Luka, oznaczona przez Apache jako OFBIZ-12873, „umożliwia atakującym ominięcie uwierzytelniania w celu uzyskania prostego fałszerstwa żądań po stronie serwera (SSRF)” – Deepak Dixit, członek Apache Software Foundation, podane na liście mailingowej Openwall. Znalezienie problemu przypisał badaczowi zagrożeń SonicWall, Hasibowi Vhorze i dwóm innym badaczom — Gao Tianowi i L0ne1yowi.

Ponieważ OfBiz stanowi platformę, a zatem część łańcucha dostaw oprogramowania, wpływ tej luki może być powszechny. Na przykład popularny projekt Atlassian Jira i oprogramowanie do śledzenia problemów korzystają z biblioteki OfBiz, ale nadal nie wiadomo, czy exploit mógł pomyślnie zostać wykonany na platformie, mówi McKee z Sonicwall.

„Będzie to zależeć od sposobu, w jaki każda firma projektuje swoją sieć i od sposobu konfiguracji oprogramowania” – mówi. „Powiedziałbym, że typowa infrastruktura nie miałaby takiego połączenia z Internetem, że wymagałaby pewnego rodzaju VPN lub dostępu wewnętrznego”.

W każdym razie firmy powinny podjąć kroki i załatać do najnowszej wersji wszystkie aplikacje, o których wiadomo, że korzystają z OfBiz, stwierdził zespół ds. reagowania na zagrożenia ASF. 

„Naszą rekomendacją dla firm korzystających z Apache OFBiz jest przestrzeganie najlepszych praktyk w zakresie bezpieczeństwa, w tym zapewnianie dostępu do systemów tylko tym użytkownikom, którzy tego potrzebują, regularne aktualizowanie oprogramowania i upewnianie się, że są dobrze przygotowani do reagowania w przypadku zagrożenia bezpieczeństwa opublikowano poradnik” – stwierdzili.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches