Okända grupper har lanserat undersökningar mot en nolldagarssårbarhet som identifierats i Apaches OfBiz Enterprise Resource Planning (ERP) ramverk – en allt mer populär strategi för att analysera patchar för sätt att kringgå programvarufixar.
0-dagars sårbarhet (CVE-2023-51467) i Apache OFBiz, som avslöjades den 26 december, tillåter en angripare att komma åt känslig information och fjärrexekvera kod mot applikationer som använder ERP-ramverket, enligt en analys av cybersäkerhetsföretaget SonicWall. Apache Software Foundation hade ursprungligen släppt en patch för ett relaterat problem, CVE-2023-49070, men korrigeringen kunde inte skydda mot andra varianter av attacken.
Incidenten belyser angriparnas strategi att granska alla patchar som släpps för att hitta värdefulla sårbarheter – ansträngningar som ofta resulterar i att hitta vägar kring programvarufixar, säger Douglas McKee, verkställande direktör för hotforskning på SonicWall.
"När någon har gjort det hårda arbetet med att säga, 'Åh, det finns en sårbarhet här', nu kan ett helt gäng forskare eller hotaktörer titta på den där smala platsen, och du har liksom öppnat dig för mycket mer granskning ," han säger. "Du har uppmärksammat det kodområdet, och om din patch inte är stensäker eller något missades, är det mer sannolikt att det hittas eftersom du har extra ögon på det."
SonicWall-forskaren Hasib Vhora analyserade patchen den 5 december och upptäckte ytterligare sätt att utnyttja problemet, vilket företaget rapporterade till Apache Software Foundation den 14 december.
"Vi var fascinerade av den valda begränsningen när vi analyserade patchen för CVE-2023-49070 och misstänkte att den verkliga förbikopplingen av autentisering fortfarande skulle finnas eftersom patchen helt enkelt tog bort XML RPC-koden från applikationen," Vhora angavs i en analys av frågan. "Som ett resultat bestämde vi oss för att gräva i koden för att ta reda på grundorsaken till problemet med auth-bypass."
Attacker riktade sig mot Apache OfBiz-sårbarheten innan dess avslöjande den 26 december. Källa: Sonicwall
Den 21 december, fem dagar innan frågan offentliggjordes, hade SonicWall redan identifierat exploateringsförsök för problemet.
Patch Imperfect
Apache är inte ensam om att släppa en patch som angripare har lyckats kringgå. År 2020 var sex av de 24 sårbarheterna (25 %) som attackerades med hjälp av nolldagsutnyttjande varianter av tidigare korrigerade säkerhetsproblem, enligt data släppt av Googles Threat Analysis Group (TAG). År 2022 var 17 av de 41 sårbarheter som attackerades av zero-day exploits (41 %) varianter av tidigare korrigerade problem, Google framgår av en uppdaterad analys.
Anledningarna till att företag misslyckas med att korrigera ett problem är många, från att inte förstå grundorsaken till problemet till att hantera enorma eftersläpningar av mjukvarusårbarheter till att prioritera en omedelbar korrigering framför en omfattande korrigering, säger Jared Semrau, senior manager på Google Mandiant's sårbarhets- och exploateringsgrupp.
"Det finns inget enkelt, enskilt svar på varför detta händer", säger han. "Det finns flera faktorer som kan bidra till [en ofullständig patch], men [SonicWall-forskare] har helt rätt - många gånger patchar företag bara den kända attackvektorn."
Google förväntar sig att andelen zero-day exploits som riktar sig mot ofullständigt korrigerade sårbarheter förblir en betydande faktor. Ur angriparperspektivet är det svårt att hitta sårbarheter i en applikation eftersom forskare och hotaktörer måste titta igenom 100,000 XNUMX-tals eller miljontals rader kod. Genom att fokusera på lovande sårbarheter som kanske inte har korrigerats ordentligt, kan angripare fortsätta att attackera en känd svag punkt istället för att börja om från början.
A Way Around OfBiz Fix
På många sätt är det vad som hände med Apache OfBiz-sårbarheten. Den ursprungliga rapporten beskrev två problem: ett RCE-fel som krävde åtkomst till XML-RPC-gränssnittet (CVE-2023-49070) och ett problem med förbikoppling av autentisering som gav opålitliga angripare denna åtkomst. Apache Software Foundation trodde att borttagning av XML-RPC-slutpunkten skulle förhindra att båda problemen utnyttjas, sa ASFs säkerhetssvarsteam ett svar på frågor från Dark Reading.
"Tyvärr missade vi att samma autentiseringsbypass också påverkade andra slutpunkter, inte bara XML-RPC-en," sa teamet. "När vi blev medvetna, utfärdades det andra plåstret inom några timmar."
Sårbarheten, spårad av Apache som OFBIZ-12873, "gör det möjligt för angripare att kringgå autentisering för att uppnå en enkel Server-Side Request Forgery (SSRF)," Deepak Dixit, medlem på Apache Software Foundation, anges på Openwalls e-postlista. Han krediterade SonicWall-hotforskaren Hasib Vhora och två andra forskare - Gao Tian och L0ne1y - för att ha hittat problemet.
Eftersom OfBiz är ett ramverk, och därmed en del av mjukvaruförsörjningskedjan, kan effekterna av sårbarheten vara utbredda. Det populära Atlassian Jira-projektet och problemspårningsmjukvaran använder till exempel OfBiz-biblioteket, men huruvida exploateringen skulle kunna utföras på plattformen är fortfarande okänt, säger Sonicwalls McKee.
"Det kommer att bero på hur varje företag skapar sitt nätverk, hur de konfigurerar programvaran", säger han. "Jag skulle säga att en typisk infrastruktur inte skulle ha denna Internet-vända, att den skulle kräva någon typ av VPN eller intern åtkomst."
I vilket fall som helst bör företag vidta åtgärder och korrigera alla applikationer som är kända för att använda OfBiz till den senaste versionen, sa ASFs säkerhetsteam.
"Vår rekommendation till företag som använder Apache OFBiz är att följa säkerhetspraxis, inklusive att endast ge åtkomst till system till de användare som behöver det, se till att regelbundet uppdatera din programvara och se till att du är väl rustad att svara när en säkerhet råd publiceras”, sa de.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches
- :är
- :inte
- $UPP
- 100
- 14
- 17
- 2020
- 2022
- 24
- 26%
- 41
- 7
- a
- absolut
- tillgång
- Enligt
- Uppnå
- aktörer
- Annat
- rådgivande
- påverkas
- mot
- tillåter
- ensam
- redan
- också
- an
- analys
- analyseras
- analys
- och
- svara
- vilken som helst
- Apache
- Ansökan
- tillämpningar
- arkitekter
- ÄR
- OMRÅDE
- runt
- AS
- ASF
- At
- attackera
- Försök
- uppmärksamhet
- Autentisering
- medveten
- BE
- därför att
- varit
- innan
- Där vi får lov att vara utan att konstant prestera,
- tros
- BÄST
- bästa praxis
- båda
- Bunch
- men
- by
- bypass
- KAN
- Orsak
- kedja
- Diagram
- valda
- koda
- Företag
- företag
- omfattande
- fortsätta
- bidra
- kunde
- Cybersäkerhet
- faror
- mörkt
- Mörk läsning
- Dagar
- som handlar om
- december
- beslutade
- Deepak
- bero
- beskriven
- svårt
- GRÄV
- Direktör
- avslöjande
- upptäckt
- gjort
- douglas
- dras
- varje
- ansträngningar
- Slutpunkt
- Företag
- ERP
- händelse
- exempel
- exekvera
- verkställande
- Verkställande direktör
- finns
- förväntar
- Exploit
- utnyttjande
- utnyttjas
- bedrifter
- extra
- Ögon
- faktor
- faktorer
- MISSLYCKAS
- Misslyckades
- Figur
- finna
- Firm
- fem
- Fast
- fast
- fel
- fokusering
- följer
- För
- förfalskning
- hittade
- fundament
- Ramverk
- från
- fullständigt
- GAO
- Ge
- kommer
- Grupp
- Gruppens
- hade
- hänt
- händer
- Hård
- hårt arbete
- Har
- he
- här.
- höjdpunkter
- ÖPPETTIDER
- html
- HTTPS
- stor
- i
- identifierade
- if
- bild
- omedelbar
- Inverkan
- in
- incident
- Inklusive
- alltmer
- informationen
- Infrastruktur
- Gränssnitt
- inre
- in
- isn
- fråga
- Utfärdad
- problem
- IT
- DESS
- jpg
- bara
- Snäll
- känd
- senaste
- lanserades
- Bibliotek
- sannolikt
- rader
- se
- Lot
- gjord
- utskick
- Framställning
- förvaltade
- chef
- många
- Maj..
- medlem
- miljoner
- missade
- begränsning
- mer
- smal
- Behöver
- nät
- Nej
- nu
- talrik
- of
- Ofta
- oh
- on
- gång
- ONE
- endast
- öppnade
- or
- ursprungliga
- ursprungligen
- Övriga
- vår
- ut
- över
- del
- Lappa
- Plåster
- Patching
- perspektiv
- planering
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Punkt
- Populära
- praxis
- presentera
- förhindra
- tidigare
- Innan
- prioritering
- Problem
- problem
- projektet
- lovande
- ordentligt
- skydda
- förutsatt
- allmän
- publicerade
- frågor
- snarare
- Läsning
- verklig
- skäl
- Rekommendation
- regelbundet
- relaterad
- frigörs
- frisättande
- förblir
- distans
- avlägsnas
- bort
- rapport
- Rapporterad
- begära
- kräver
- Obligatorisk
- forskning
- forskaren
- forskare
- resurs
- Svara
- respons
- resultera
- höger
- sten
- rot
- s
- Nämnda
- Samma
- säga
- säger
- säger
- repa
- granskning
- Andra
- säkerhet
- senior
- känslig
- flera
- Dela
- skall
- signifikant
- Enkelt
- helt enkelt
- eftersom
- enda
- SEX
- Mjukvara
- mjukvaruförsörjningskedjan
- fast
- några
- någon
- något
- Källa
- Spot
- starta
- Steg
- Fortfarande
- Strategi
- Framgångsrikt
- leverera
- leveranskedjan
- säker
- System
- MÄRKA
- Ta
- Målet
- riktade
- grupp
- än
- den där
- Smakämnen
- deras
- Där.
- de
- detta
- de
- hot
- hotaktörer
- Genom
- Således
- gånger
- till
- två
- Typ
- typisk
- understryker
- förståelse
- tyvärr
- okänd
- Uppdatering
- uppdaterad
- användning
- användare
- användningar
- med hjälp av
- Ve
- version
- VPN
- sårbarheter
- sårbarhet
- var
- Sätt..
- sätt
- we
- svag
- były
- Vad
- när
- om
- som
- Hela
- varför
- utbredd
- med
- inom
- Arbete
- skulle
- XML
- Om er
- Din
- själv
- zephyrnet
