Apache ERP Zero-Day subliniază pericolele patch-urilor incomplete

Grupuri necunoscute au lansat probe împotriva unei vulnerabilități zero-day identificată în cadrul Apache OfBiz de planificare a resurselor (ERP) de la Apache – o strategie din ce în ce mai populară de analiză a corecțiilor pentru modalități de a ocoli remedierile software.

Vulnerabilitatea de 0 zile (CVE-2023-51467) în Apache OFBiz, dezvăluit pe 26 decembrie, permite unui atacator să acceseze informații sensibile și să execute de la distanță cod împotriva aplicațiilor care utilizează cadrul ERP, potrivit unei analize realizate de firma de securitate cibernetică SonicWall. Apache Software Foundation a lansat inițial un patch pentru o problemă asociată, CVE-2023-49070, dar remedierea nu a reușit să protejeze împotriva altor variații ale atacului.

Incidentul evidențiază strategia atacatorilor de a examina orice patch-uri lansate pentru vulnerabilități de mare valoare - eforturi care adesea duc la găsirea unor modalități de a evita remedierea software-ului, spune Douglas McKee, director executiv pentru cercetarea amenințărilor la SonicWall.

„Odată ce cineva a făcut munca grea de a spune „Oh, aici există o vulnerabilitate”, acum o grămadă de cercetători sau actori amenințări se pot uita la acel punct îngust și te-ai cam deschis la o atenție mult mai mare. ," el spune. „Ați atras atenția asupra acelei zone de cod și dacă patch-ul nu este solid sau ceva a fost omis, este mai probabil să fie găsit pentru că aveți ochi în plus pe el.”

Cercetătorul SonicWall, Hasib Vhora, a analizat patch-ul din 5 decembrie și a descoperit modalități suplimentare de a exploata problema, pe care compania a raportat-o ​​la Apache Software Foundation pe 14 decembrie. 

„Am fost intrigați de atenuarea aleasă atunci când am analizat patch-ul pentru CVE-2023-49070 și am bănuit că bypass-ul real de autentificare va fi în continuare prezent, deoarece patch-ul a eliminat pur și simplu codul XML RPC din aplicație”, Vhora afirmat într-o analiză a problemei. „În consecință, am decis să cercetăm codul pentru a descoperi cauza principală a problemei de ocolire a autorizației.”

Atacurile au vizat vulnerabilitatea Apache OfBiz înainte de dezvăluirea acesteia din 26 decembrie. Sursa: Sonicwall

Până pe 21 decembrie, cu cinci zile înainte ca problema să fie făcută publică, SonicWall identificase deja încercări de exploatare a problemei. 

Patch Imperfect

Apache nu este singurul care lansează un patch pe care atacatorii au reușit să îl ocolească. În 2020, șase din cele 24 de vulnerabilități (25%) atacate folosind exploit-uri zero-day au fost variații ale problemelor de securitate corectate anterior, potrivit date publicate de Grupul de analiză a amenințărilor Google (TAG). Până în 2022, 17 dintre cele 41 de vulnerabilități atacate de exploatările zero-day (41%) erau variante ale unor probleme corectate anterior, Google precizat într-o analiză actualizată.

Motivele pentru care companiile nu reușesc să corecteze complet o problemă sunt numeroase, de la neînțelegerea cauzei principale a problemei până la gestionarea întârzierilor uriașe de vulnerabilități software până la prioritizarea unui patch imediat față de o remediere cuprinzătoare, spune Jared Semrau, manager senior la Google Mandiant. grup de vulnerabilitate și exploatare. 

„Nu există un răspuns simplu și unic cu privire la motivul pentru care se întâmplă acest lucru”, spune el. „Există mai mulți factori care pot contribui la [un patch incomplet], dar [cercetătorii SonicWall] au perfectă dreptate – de multe ori companiile doar reparează vectorul de atac cunoscut.”

Google se așteaptă ca ponderea exploit-urilor zero-day care vizează vulnerabilitățile corectate incomplet să rămână un factor semnificativ. Din perspectiva atacatorului, găsirea vulnerabilităților într-o aplicație este dificilă, deoarece cercetătorii și actorii amenințărilor trebuie să caute peste 100,000 sau milioane de linii de cod. Concentrându-se pe vulnerabilități promițătoare care este posibil să nu fi fost corectate corect, atacatorii pot continua să atace un punct slab cunoscut, mai degrabă decât să înceapă de la zero.

O cale în jurul lui OfBiz Fix

În multe privințe, asta s-a întâmplat cu vulnerabilitatea Apache OfBiz. Raportul original a descris două probleme: o defecțiune RCE care necesita acces la interfața XML-RPC (CVE-2023-49070) și o problemă de ocolire a autentificării care a oferit atacatorilor care nu aveau încredere cu acest acces. Apache Software Foundation credea că eliminarea punctului final XML-RPC ar împiedica exploatarea ambelor probleme, echipa de răspuns de securitate ASF a spus un răspuns la întrebările de la Dark Reading.

„Din păcate, am ratat faptul că aceeași ocolire de autentificare a afectat și alte puncte finale, nu doar pe cel XML-RPC”, a spus echipa. „Odată ce am fost informați, al doilea patch a fost emis în câteva ore.”

Vulnerabilitatea, urmărită de Apache ca OFBIZ-12873, „permite atacatorilor să ocolească autentificarea pentru a realiza o simplă falsificare a cererilor pe partea de server (SSRF)”, Deepak Dixit, membru la Apache Software Foundation, menționate pe lista de corespondență Openwall. El l-a creditat pe cercetătorul de amenințări SonicWall Hasib Vhora și alți doi cercetători - Gao Tian și L0ne1y - pentru a găsi problema.

Deoarece OfBiz este un cadru și, prin urmare, face parte din lanțul de aprovizionare cu software, impactul vulnerabilității ar putea fi larg răspândit. Popularul proiect Atlassian Jira și software-ul de urmărire a problemelor, de exemplu, utilizează biblioteca OfBiz, dar încă nu se știe dacă exploit-ul se poate executa cu succes pe platformă, spune McKee de la Sonicwall.

„Va depinde de modul în care fiecare companie își construiește rețeaua, de modul în care configurează software-ul”, spune el. „Aș spune că o infrastructură tipică nu ar avea această conexiune la internet, că ar necesita un anumit tip de VPN sau acces intern.”

În orice caz, companiile ar trebui să ia măsuri și să corecteze toate aplicațiile despre care se știe că utilizează OfBiz la cea mai recentă versiune, a spus echipa de răspuns de securitate ASF. 

„Recomandarea noastră pentru companiile care utilizează Apache OFBiz este să urmeze cele mai bune practici de securitate, inclusiv acordarea accesului la sisteme doar acelor utilizatori care au nevoie de el, asigurându-vă că vă actualizați în mod regulat software-ul și asigurându-vă că sunteți bine echipat pentru a răspunde la o securitate. avizul este publicat”, au spus ei.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches