Apache ERP Zero-Day ressalta os perigos de patches incompletos

Grupos desconhecidos lançaram investigações contra uma vulnerabilidade de dia zero identificada na estrutura de planejamento de recursos empresariais (ERP) OfBiz do Apache – uma estratégia cada vez mais popular de análise de patches em busca de maneiras de contornar correções de software.

A vulnerabilidade do dia 0 (CVE-2023-51467) no Apache OFBiz, divulgado em 26 de dezembro, permite que um invasor acesse informações confidenciais e execute remotamente código em aplicativos usando a estrutura ERP, de acordo com uma análise da empresa de segurança cibernética SonicWall. A Apache Software Foundation lançou originalmente um patch para um problema relacionado, CVE-2023-49070, mas a correção não protegeu contra outras variações do ataque.

O incidente destaca a estratégia dos invasores de examinar quaisquer patches lançados em busca de vulnerabilidades de alto valor – esforços que muitas vezes resultam na descoberta de maneiras de contornar correções de software, diz Douglas McKee, diretor executivo de pesquisa de ameaças da SonicWall.

“Depois que alguém faz o trabalho duro de dizer: 'Ah, existe uma vulnerabilidade aqui', agora um monte de pesquisadores ou atores de ameaças podem olhar para esse ponto estreito, e você se abre para muito mais escrutínio. ," ele diz. “Você chamou a atenção para essa área do código e, se o seu patch não for sólido ou algo tiver sido esquecido, é mais provável que ele seja encontrado porque você tem olhos extras sobre ele.”

O pesquisador da SonicWall, Hasib Vhora, analisou o patch de 5 de dezembro e descobriu maneiras adicionais de explorar o problema, que a empresa relatou à Apache Software Foundation em 14 de dezembro. 

“Ficamos intrigados com a mitigação escolhida ao analisar o patch para CVE-2023-49070 e suspeitamos que o verdadeiro desvio de autenticação ainda estaria presente, já que o patch simplesmente removeu o código XML RPC do aplicativo”, disse Vhora. afirmou em uma análise do assunto. “Como resultado, decidimos nos aprofundar no código para descobrir a causa raiz do problema de desvio de autenticação.”

Os ataques tiveram como alvo a vulnerabilidade Apache OfBiz antes de sua divulgação em 26 de dezembro. Fonte: Sonic Wall

Em 21 de dezembro, cinco dias antes de o problema se tornar público, a SonicWall já havia identificado tentativas de exploração do problema. 

Patch imperfeito

O Apache não está sozinho no lançamento de um patch que os invasores conseguiram contornar. Em 2020, seis das 24 vulnerabilidades (25%) atacadas usando explorações de dia zero eram variações de problemas de segurança corrigidos anteriormente, de acordo com dados divulgados pelo Threat Analysis Group (TAG) do Google. Em 2022, 17 das 41 vulnerabilidades atacadas por explorações de dia zero (41%) eram variantes de problemas corrigidos anteriormente, diz o Google. declarado em uma análise atualizada.

Os motivos pelos quais as empresas não conseguem corrigir totalmente um problema são numerosos, desde a não compreensão da causa raiz do problema até lidar com enormes acúmulos de vulnerabilidades de software até priorizar um patch imediato em vez de uma correção abrangente, diz Jared Semrau, gerente sênior do Google Mandiant's. grupo de vulnerabilidade e exploração. 

“Não há uma resposta simples e única sobre por que isso acontece”, diz ele. “Existem vários fatores que podem contribuir para [um patch incompleto], mas [os pesquisadores da SonicWall] estão absolutamente certos – muitas vezes as empresas estão apenas corrigindo o vetor de ataque conhecido.”

O Google espera que a parcela de explorações de dia zero que visam vulnerabilidades corrigidas de forma incompleta continue sendo um fator significativo. Do ponto de vista do invasor, é difícil encontrar vulnerabilidades em um aplicativo porque os pesquisadores e os agentes de ameaças precisam examinar centenas de milhares ou milhões de linhas de código. Ao se concentrarem em vulnerabilidades promissoras que podem não ter sido corrigidas adequadamente, os invasores podem continuar a atacar um ponto fraco conhecido, em vez de começar do zero.

Uma maneira de contornar o OfBiz Fix

De muitas maneiras, foi isso que aconteceu com a vulnerabilidade do Apache OfBiz. O relatório original descreveu dois problemas: uma falha RCE que exigia acesso à interface XML-RPC (CVE-2023-49070) e um problema de desvio de autenticação que fornecia esse acesso a invasores não confiáveis. A Apache Software Foundation acreditava que a remoção do endpoint XML-RPC impediria que ambos os problemas fossem explorados, disse a equipe de resposta de segurança do ASF em resposta às perguntas de Dark Reading.

“Infelizmente, não percebemos que o mesmo desvio de autenticação também afetou outros endpoints, não apenas o XML-RPC”, disse a equipe. “Assim que fomos informados, o segundo patch foi lançado em poucas horas.”

A vulnerabilidade, rastreada pelo Apache como OFBIZ-12873, “permite que invasores ignorem a autenticação para obter uma simples falsificação de solicitação do lado do servidor (SSRF)”, disse Deepak Dixit, membro da Apache Software Foundation. declarado na lista de discussão do Openwall. Ele atribuiu ao pesquisador de ameaças da SonicWall, Hasib Vhora, e a dois outros pesquisadores – Gao Tian e L0ne1y – a descoberta do problema.

Como o OfBiz é uma estrutura e, portanto, parte da cadeia de fornecimento de software, o impacto da vulnerabilidade pode ser generalizado. O popular projeto Atlassian Jira e software de rastreamento de problemas, por exemplo, usa a biblioteca OfBiz, mas ainda não se sabe se a exploração poderia ser executada com sucesso na plataforma, diz McKee da Sonicwall.

“Vai depender da forma como cada empresa arquiteta sua rede, da forma como configura o software”, afirma. “Eu diria que uma infraestrutura típica não teria essa interface com a Internet, que exigiria algum tipo de VPN ou acesso interno.”

De qualquer forma, as empresas devem tomar medidas e corrigir quaisquer aplicativos conhecidos por usar o OfBiz para a versão mais recente, disse a equipe de resposta de segurança do ASF. 

“Nossa recomendação para empresas que usam o Apache OFBiz é seguir as práticas recomendadas de segurança, incluindo conceder acesso aos sistemas apenas aos usuários que precisam, atualizando regularmente seu software e garantindo que você esteja bem equipado para responder quando um problema de segurança o aviso é publicado”, disseram eles.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches