Apache ERP Zero-Day poudarja nevarnosti nepopolnih popravkov

Apache ERP Zero-Day poudarja nevarnosti nepopolnih popravkov

Časovni žig: 4. januar 2024 4:00

Neznane skupine so sprožile preiskave zoper ranljivost ničelnega dne, ugotovljeno v Apachejevem ogrodju za načrtovanje virov podjetja (ERP) OfBiz – vse bolj priljubljena strategija analiziranja popravkov za načine, kako zaobiti popravke programske opreme.

0-dnevna ranljivost (CVE-2023-51467) v Apache OFBiz, razkritem 26. decembra, omogoča napadalcu dostop do občutljivih informacij in oddaljeno izvajanje kode proti aplikacijam, ki uporabljajo okvir ERP, glede na analizo podjetja SonicWall za kibernetsko varnost. Apache Software Foundation je prvotno izdal popravek za sorodno težavo, CVE-2023-49070, vendar popravek ni zaščitil pred drugimi različicami napada.

Incident poudarja strategijo napadalcev, da natančno pregledajo vse izdane popravke za ranljivosti visoke vrednosti – prizadevanja, ki se pogosto končajo z iskanjem načinov, kako zaobiti popravke programske opreme, pravi Douglas McKee, izvršni direktor raziskave groženj pri SonicWall.

»Ko je nekdo enkrat opravil trdo delo in rekel: 'Oh, tu obstaja ranljivost,' lahko zdaj cel kup raziskovalcev ali akterjev groženj pogleda to eno ozko točko, vi pa ste se nekako odprli za veliko več nadzora. ," on reče. »Pozornost ste pritegnili na to področje kode in če vaš popravek ni trden ali pa ste kaj spregledali, je bolj verjetno, da ga bodo našli, ker imate na njem dodatne oči.«

Raziskovalec SonicWall Hasib Vhora je analiziral popravek iz 5. decembra in odkril dodatne načine za izkoriščanje težave, o čemer je podjetje 14. decembra poročalo Apache Software Foundation. 

»Pri analizi popravka za CVE-2023-49070 nas je zanimala izbrana ublažitev in sumili smo, da bo pravi obvod za preverjanje pristnosti še vedno prisoten, saj je popravek preprosto odstranil kodo XML RPC iz aplikacije,« Vhora navedeno v analizi vprašanja. "Zato smo se odločili, da se poglobimo v kodo, da bi ugotovili glavni vzrok za težavo z obvozom avtorizacije."

Grafikon poskusov izkoriščanja za CVE-2023-51467

Napadi so bili usmerjeni na ranljivost Apache OfBiz pred njenim razkritjem 26. decembra. Vir: Sonicwall

Do 21. decembra, pet dni preden je bila zadeva objavljena, je SonicWall že odkril poskuse izkoriščanja te težave. 

Patch Imperfect

Apache ni edini pri izdaji popravka, ki ga je napadalcem uspelo zaobiti. Leta 2020 je bilo šest od 24 ranljivosti (25 %), napadenih z izkoriščanji ničelnega dne, različic predhodno popravljenih varnostnih težav, glede na podatki, ki jih je objavila Googlova skupina za analizo groženj (TAG). Do leta 2022 je bilo 17 od 41 ranljivosti, napadenih z izkoriščanji ničelnega dne (41 %), različic predhodno popravljenih težav, Google navedeno v posodobljeni analizi.

Razlogov, da podjetjem ne uspe v celoti popraviti težave, je veliko, od nerazumevanja temeljnega vzroka težave do reševanja velikih zaostankov ranljivosti programske opreme do dajanja prednosti takojšnjemu popravku pred celovitim popravkom, pravi Jared Semrau, višji vodja pri podjetju Google Mandiant. ranljivost in skupina izkoriščanja. 

"Ni enostavnega odgovora, zakaj se to zgodi," pravi. "Obstaja več dejavnikov, ki lahko prispevajo k [nepopolnemu popravku], vendar [raziskovalci SonicWall] imajo popolnoma prav - velikokrat podjetja samo krpajo znani vektor napada."

Google pričakuje, da bo delež izkoriščanj ničelnega dne, ki ciljajo na nepopolno popravljene ranljivosti, ostal pomemben dejavnik. Z vidika napadalca je iskanje ranljivosti v aplikaciji težko, ker morajo raziskovalci in akterji groženj pregledati 100,000 ali milijone vrstic kode. Z osredotočanjem na obetavne ranljivosti, ki morda niso bile ustrezno popravljene, lahko napadalci nadaljujejo z napadi na znano šibko točko, namesto da začnejo iz nič.

Pot okoli popravka OfBiz

V mnogih pogledih se je to zgodilo z ranljivostjo Apache OfBiz. Prvotno poročilo je opisalo dve težavi: napako RCE, ki je zahtevala dostop do vmesnika XML-RPC (CVE-2023-49070) in težavo z obvodom avtentikacije, ki je nezaupljivim napadalcem omogočila ta dostop. Apache Software Foundation je menil, da bi odstranitev končne točke XML-RPC preprečila izkoriščanje obeh težav, je odgovorila varnostna odzivna ekipa ASF v odgovoru na vprašanja Dark Readinga.

"Na žalost smo spregledali, da je isti obhod pri preverjanju pristnosti vplival tudi na druge končne točke, ne samo na XML-RPC," je dejala ekipa. "Ko smo bili obveščeni, je bil drugi popravek izdan v nekaj urah."

Ranljivost, ki jo Apache spremlja kot OFBIZ-12873, "omogoča napadalcem, da obidejo avtentikacijo, da dosežejo preprosto ponarejanje zahtev na strani strežnika (SSRF)," Deepak Dixit, član Apache Software Foundation, navedeno na poštnem seznamu Openwall. Za odkritje težave je pripisal raziskovalcu groženj SonicWall Hasibu Vhori in dvema drugima raziskovalcema – Gao Tianu in L0ne1yju.

Ker je OfBiz ogrodje in s tem del dobavne verige programske opreme, je lahko vpliv ranljivosti zelo razširjen. Priljubljeni projekt Atlassian Jira in programska oprema za sledenje težavam na primer uporabljata knjižnico OfBiz, vendar še vedno ni znano, ali bi se izkoriščanje lahko uspešno izvedlo na platformi, pravi McKee iz Sonicwalla.

»To bo odvisno od načina, na katerega vsako podjetje oblikuje svoje omrežje, na način, na katerega konfigurira programsko opremo,« pravi. "Rekel bi, da tipična infrastruktura ne bi imela te povezave z internetom, da bi zahtevala neko vrsto VPN ali notranji dostop."

V vsakem primeru bi morala podjetja ukrepati in popraviti vse aplikacije, za katere je znano, da uporabljajo OfBiz, na najnovejšo različico, je dejala varnostna odzivna ekipa ASF. 

»Naše priporočilo za podjetja, ki uporabljajo Apache OFBiz, je, da sledijo najboljšim varnostnim praksam, vključno z omogočanjem dostopa do sistemov samo tistim uporabnikom, ki ga potrebujejo, zagotavljanjem rednega posodabljanja programske opreme in zagotavljanjem, da ste dobro opremljeni za odziv na varnost svetovanje je objavljeno,« so sporočili.

Časovni žig:

Več od Temno branje