กลุ่มที่ไม่รู้จักได้เปิดตัวการตรวจสอบช่องโหว่แบบ Zero-day ที่ระบุในเฟรมเวิร์กการวางแผนทรัพยากรองค์กร (ERP) ของ OfBiz ของ Apache ซึ่งเป็นกลยุทธ์ที่ได้รับความนิยมมากขึ้นเรื่อยๆ ในการวิเคราะห์แพตช์เพื่อหาทางเลี่ยงการแก้ไขซอฟต์แวร์
ช่องโหว่ 0 วัน (CVE-2023-51467) ใน Apache OFBiz ซึ่งเปิดเผยเมื่อวันที่ 26 ธันวาคม ช่วยให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนและรันโค้ดจากระยะไกลกับแอปพลิเคชันที่ใช้กรอบงาน ERP ตามการวิเคราะห์โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ SonicWall มูลนิธิซอฟต์แวร์ Apache ได้เปิดตัวแพตช์สำหรับปัญหาที่เกี่ยวข้อง CVE-2023-49070 แต่การแก้ไขล้มเหลวในการป้องกันการโจมตีรูปแบบอื่นๆ
เหตุการณ์ดังกล่าวเน้นย้ำถึงกลยุทธ์ของผู้โจมตีในการตรวจสอบแพตช์ใดๆ ที่เผยแพร่เพื่อหาช่องโหว่ที่มีมูลค่าสูง — ความพยายามซึ่งมักจะส่งผลให้เกิดการหาวิธีแก้ไขซอฟต์แวร์ Douglas McKee ผู้อำนวยการบริหารฝ่ายวิจัยภัยคุกคามของ SonicWall กล่าว
“เมื่อมีคนทำงานหนักโดยพูดว่า 'โอ้ มีช่องโหว่อยู่ที่นี่' ตอนนี้นักวิจัยหรือผู้แสดงภัยคุกคามจำนวนมากสามารถมองที่จุดแคบ ๆ นั้นได้ และคุณได้เปิดใจรับการตรวจสอบอย่างละเอียดมากขึ้น ," เขาพูดว่า. “คุณได้ดึงความสนใจไปที่ส่วนนั้นของโค้ด และหากแพตช์ของคุณไม่มั่นคงหรือขาดหายไป ก็มีแนวโน้มที่จะถูกค้นพบมากขึ้นเนื่องจากคุณจับตาดูมันเป็นพิเศษ”
Hasib Vhora นักวิจัยของ SonicWall วิเคราะห์แพตช์เมื่อวันที่ 5 ธันวาคม และค้นพบวิธีเพิ่มเติมในการใช้ประโยชน์จากปัญหานี้ ซึ่งบริษัทได้รายงานไปยัง Apache Software Foundation เมื่อวันที่ 14 ธันวาคม
“เรารู้สึกทึ่งกับการบรรเทาที่เลือกไว้เมื่อวิเคราะห์แพตช์สำหรับ CVE-2023-49070 และสงสัยว่าการเลี่ยงการรับรองความถูกต้องที่แท้จริงจะยังคงปรากฏอยู่ เนื่องจากแพตช์เพียงแค่ลบโค้ด XML RPC ออกจากแอปพลิเคชัน” Vhora ระบุไว้ในการวิเคราะห์ปัญหา. “ด้วยเหตุนี้ เราจึงตัดสินใจเจาะลึกโค้ดเพื่อค้นหาสาเหตุที่แท้จริงของปัญหาการบายพาสการรับรองความถูกต้อง”
การโจมตีมุ่งเป้าไปที่ช่องโหว่ Apache OfBiz ก่อนการเปิดเผยในวันที่ 26 ธันวาคม ที่มา: โซนิควอลล์
ภายในวันที่ 21 ธันวาคม ห้าวันก่อนที่ปัญหาดังกล่าวจะเผยแพร่สู่สาธารณะ SonicWall ได้ระบุความพยายามในการแสวงหาประโยชน์จากปัญหานี้แล้ว
แพทช์ไม่สมบูรณ์
Apache ไม่ได้อยู่คนเดียวในการปล่อยแพตช์ที่ผู้โจมตีสามารถหลีกเลี่ยงได้ ในปี 2020 ช่องโหว่ 24 รายการจากทั้งหมด 25 รายการ (XNUMX%) ที่ถูกโจมตีโดยใช้ช่องโหว่แบบ Zero-day เป็นรูปแบบที่แตกต่างจากปัญหาด้านความปลอดภัยที่ได้รับแพตช์ก่อนหน้านี้ ข้อมูลที่เผยแพร่โดยกลุ่มวิเคราะห์ภัยคุกคาม (TAG) ของ Google. ภายในปี 2022 ช่องโหว่ 17 รายการจาก 41 รายการที่ถูกโจมตีโดยการใช้ประโยชน์จากช่องโหว่แบบ Zero-day (41%) เป็นช่องโหว่จากปัญหาที่ได้รับแพตช์ก่อนหน้านี้ Google ระบุไว้ในการวิเคราะห์ที่อัปเดต.
เหตุผลที่บริษัทต่างๆ ล้มเหลวในการแก้ไขปัญหาอย่างสมบูรณ์นั้นมีมากมาย ตั้งแต่การไม่เข้าใจสาเหตุที่แท้จริงของปัญหาไปจนถึงการจัดการกับช่องโหว่ของซอฟต์แวร์ที่ค้างอยู่จำนวนมาก ไปจนถึงการจัดลำดับความสำคัญของการแก้ไขทันทีมากกว่าการแก้ไขที่ครอบคลุม Jared Semrau ผู้จัดการอาวุโสของ Google Mandiant กล่าว กลุ่มความเปราะบางและการแสวงหาผลประโยชน์
“ไม่มีคำตอบง่ายๆ คำตอบเดียวว่าทำไมถึงเกิดเหตุการณ์เช่นนี้” เขากล่าว “มีปัจจัยหลายประการที่สามารถนำไปสู่ [แพตช์ที่ไม่สมบูรณ์] แต่ [นักวิจัยของ SonicWall] นั้นถูกต้องอย่างแน่นอน — หลายครั้งที่บริษัทต่างๆ เพียงแค่แพตช์เวกเตอร์การโจมตีที่รู้จัก”
Google คาดว่าส่วนแบ่งของช่องโหว่แบบ Zero-day ที่กำหนดเป้าหมายไปยังช่องโหว่ที่มีการแก้ไขไม่สมบูรณ์จะยังคงเป็นปัจจัยสำคัญ จากมุมมองของผู้โจมตี การค้นหาช่องโหว่ในแอปพลิเคชันเป็นเรื่องยาก เนื่องจากนักวิจัยและผู้ดำเนินการภัยคุกคามต้องตรวจสอบโค้ดกว่า 100,000 หรือหลายล้านบรรทัด ด้วยการมุ่งเน้นไปที่ช่องโหว่ที่อาจไม่ได้รับการแพตช์อย่างเหมาะสม ผู้โจมตีสามารถโจมตีจุดอ่อนที่ทราบต่อไปได้ แทนที่จะเริ่มจากศูนย์
วิธีการแก้ไข OfBiz
ในหลาย ๆ ด้าน นั่นคือสิ่งที่เกิดขึ้นกับช่องโหว่ Apache OfBiz รายงานต้นฉบับอธิบายปัญหาสองประการ: ข้อบกพร่อง RCE ที่จำเป็นต้องเข้าถึงอินเทอร์เฟซ XML-RPC (CVE-2023-49070) และปัญหาการบายพาสการตรวจสอบสิทธิ์ที่ทำให้ผู้โจมตีที่ไม่น่าเชื่อถือสามารถเข้าถึงการเข้าถึงนี้ได้ มูลนิธิซอฟต์แวร์ Apache เชื่อว่าการลบจุดสิ้นสุด XML-RPC จะป้องกันไม่ให้ทั้งสองปัญหาถูกโจมตี ทีมตอบสนองด้านความปลอดภัย ASF กล่าวว่าการตอบคำถามจาก Dark Reading
“น่าเสียดายที่เราพลาดไปว่าการข้ามการรับรองความถูกต้องแบบเดียวกันยังส่งผลกระทบต่ออุปกรณ์ปลายทางอื่นๆ ไม่ใช่แค่ XML-RPC เท่านั้น” ทีมงานกล่าว “เมื่อเราทราบแล้ว แพทช์ที่สองก็ออกภายในไม่กี่ชั่วโมง”
ช่องโหว่นี้ติดตามโดย Apache ในชื่อ OFBIZ-12873 “ทำให้ผู้โจมตีสามารถเลี่ยงผ่านการรับรองความถูกต้องเพื่อให้บรรลุ Server-Side Request Forgery (SSRF) แบบง่ายๆ” Deepak Dixit สมาชิกของ Apache Software Foundation ระบุไว้ในรายชื่อผู้รับจดหมายของ Openwall. เขาให้เครดิต Hasib Vhora นักวิจัยภัยคุกคาม SonicWall และนักวิจัยอีกสองคน ได้แก่ Gao Tian และ L0ne1y ในการค้นหาปัญหานี้
เนื่องจาก OfBiz เป็นเฟรมเวิร์ก และเป็นส่วนหนึ่งของห่วงโซ่อุปทานซอฟต์แวร์ ผลกระทบของช่องโหว่จึงอาจแพร่กระจายอย่างกว้างขวาง ตัวอย่างเช่น โครงการ Atlassian Jira ยอดนิยมและซอฟต์แวร์ติดตามปัญหา ใช้ไลบรารี OfBiz แต่ช่องโหว่ดังกล่าวสามารถดำเนินการบนแพลตฟอร์มได้สำเร็จหรือไม่นั้นยังไม่เป็นที่ทราบแน่ชัด McKee จาก Sonicwall กล่าว
“มันจะขึ้นอยู่กับวิธีที่แต่ละบริษัทออกแบบเครือข่ายของตน และวิธีกำหนดค่าซอฟต์แวร์” เขากล่าว “ฉันจะบอกว่าโครงสร้างพื้นฐานทั่วไปจะไม่เชื่อมต่อกับอินเทอร์เน็ต และต้องใช้ VPN บางประเภทหรือการเข้าถึงภายใน”
ไม่ว่าในกรณีใด บริษัทต่างๆ ควรดำเนินการและแก้ไขแอปพลิเคชันใดๆ ที่ทราบว่าใช้ OfBiz เป็นเวอร์ชันล่าสุด ทีมตอบสนองด้านความปลอดภัย ASF กล่าว
“คำแนะนำของเราสำหรับบริษัทที่ใช้ Apache OFBiz คือการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย รวมถึงการให้สิทธิ์การเข้าถึงระบบแก่ผู้ใช้ที่ต้องการเท่านั้น ตรวจสอบให้แน่ใจว่าได้อัปเดตซอฟต์แวร์ของคุณเป็นประจำ และตรวจสอบให้แน่ใจว่าคุณมีความพร้อมที่จะตอบสนองเมื่อมีการรักษาความปลอดภัย มีการเผยแพร่คำแนะนำแล้ว” พวกเขากล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches
- :เป็น
- :ไม่
- $ ขึ้น
- 100
- 14
- 17
- 2020
- 2022
- 24
- 26%
- 41
- 7
- a
- อย่างแน่นอน
- เข้า
- ตาม
- บรรลุ
- นักแสดง
- เพิ่มเติม
- ที่ปรึกษา
- ได้รับผล
- กับ
- ช่วยให้
- คนเดียว
- แล้ว
- ด้วย
- an
- การวิเคราะห์
- วิเคราะห์
- วิเคราะห์
- และ
- คำตอบ
- ใด
- อาปาเช่
- การใช้งาน
- การใช้งาน
- สถาปนิก
- เป็น
- AREA
- รอบ
- AS
- ASF
- At
- โจมตี
- ความพยายามในการ
- ความสนใจ
- การยืนยันตัวตน
- ทราบ
- BE
- เพราะ
- รับ
- ก่อน
- กำลัง
- เชื่อว่า
- ที่ดีที่สุด
- ปฏิบัติที่ดีที่สุด
- ทั้งสอง
- พวง
- แต่
- by
- ทางอ้อม
- CAN
- ก่อให้เกิด
- โซ่
- แผนภูมิ
- เลือก
- รหัส
- บริษัท
- บริษัท
- ครอบคลุม
- ต่อ
- สนับสนุน
- ได้
- cybersecurity
- อันตราย
- มืด
- การอ่านที่มืด
- วัน
- การซื้อขาย
- ธันวาคม
- ตัดสินใจ
- Deepak
- ขึ้นอยู่กับ
- อธิบาย
- ยาก
- DIG
- ผู้อำนวยการ
- การเปิดเผย
- ค้นพบ
- ทำ
- ดักลาส
- วาด
- แต่ละ
- ความพยายาม
- ปลายทาง
- Enterprise
- ERP
- เหตุการณ์
- ตัวอย่าง
- ดำเนินการ
- ผู้บริหารงาน
- ผู้อำนวยการบริหาร
- ที่มีอยู่
- คาดว่า
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- การหาประโยชน์
- พิเศษ
- Eyes
- ปัจจัย
- ปัจจัย
- ล้มเหลว
- ล้มเหลว
- รูป
- หา
- บริษัท
- ห้า
- แก้ไขปัญหา
- แก้ไข
- ข้อบกพร่อง
- โดยมุ่งเน้น
- ปฏิบัติตาม
- สำหรับ
- การปลอม
- พบ
- รากฐาน
- กรอบ
- ราคาเริ่มต้นที่
- อย่างเต็มที่
- GAO
- ให้
- ไป
- บัญชีกลุ่ม
- กลุ่ม
- มี
- ที่เกิดขึ้น
- ที่เกิดขึ้น
- ยาก
- การทำงานอย่างหนัก
- มี
- he
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ไฮไลท์
- ชั่วโมง
- HTML
- HTTPS
- ใหญ่
- i
- ระบุ
- if
- ภาพ
- ทันที
- ส่งผลกระทบ
- in
- อุบัติการณ์
- รวมทั้ง
- ขึ้น
- ข้อมูล
- โครงสร้างพื้นฐาน
- อินเตอร์เฟซ
- ภายใน
- เข้าไป
- ISN
- ปัญหา
- ทุนที่ออก
- ปัญหา
- IT
- ITS
- jpg
- เพียงแค่
- ชนิด
- ที่รู้จักกัน
- ล่าสุด
- เปิดตัว
- ห้องสมุด
- น่าจะ
- เส้น
- ดู
- Lot
- ทำ
- ทางไปรษณีย์
- การทำ
- การจัดการ
- ผู้จัดการ
- หลาย
- อาจ..
- สมาชิก
- ล้าน
- พลาด
- การบรรเทา
- ข้อมูลเพิ่มเติม
- แคบ
- จำเป็นต้อง
- เครือข่าย
- ไม่
- ตอนนี้
- มากมาย
- of
- มักจะ
- oh
- on
- ครั้งเดียว
- ONE
- เพียง
- เปิด
- or
- เป็นต้นฉบับ
- แต่เดิม
- อื่นๆ
- ของเรา
- ออก
- เกิน
- ส่วนหนึ่ง
- ปะ
- แพทช์
- ปะ
- มุมมอง
- การวางแผน
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ยอดนิยม
- การปฏิบัติ
- นำเสนอ
- ป้องกัน
- ก่อนหน้านี้
- ก่อน
- จัดลำดับความสำคัญ
- ปัญหา
- ปัญหาที่เกิดขึ้น
- โครงการ
- แวว
- อย่างถูกต้อง
- ป้องกัน
- ให้
- สาธารณะ
- การตีพิมพ์
- คำถาม
- ค่อนข้าง
- การอ่าน
- จริง
- เหตุผล
- แนะนำ
- สม่ำเสมอ
- ที่เกี่ยวข้อง
- การเผยแพร่
- การปล่อย
- ยังคง
- จากระยะไกล
- ลบออก
- ลบ
- รายงาน
- รายงาน
- ขอ
- ต้องการ
- จำเป็นต้องใช้
- การวิจัย
- นักวิจัย
- นักวิจัย
- ทรัพยากร
- ตอบสนอง
- คำตอบ
- ผล
- ขวา
- หิน
- ราก
- s
- กล่าวว่า
- เดียวกัน
- กล่าว
- คำพูด
- พูดว่า
- รอยขีดข่วน
- การพิจารณา
- ที่สอง
- ความปลอดภัย
- ระดับอาวุโส
- มีความละเอียดอ่อน
- หลาย
- Share
- น่า
- สำคัญ
- ง่าย
- ง่ายดาย
- ตั้งแต่
- เดียว
- หก
- ซอฟต์แวร์
- ห่วงโซ่อุปทานซอฟต์แวร์
- ของแข็ง
- บาง
- บางคน
- บางสิ่งบางอย่าง
- แหล่ง
- จุด
- เริ่มต้น
- ขั้นตอน
- ยังคง
- กลยุทธ์
- ประสบความสำเร็จ
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- แน่ใจ
- ระบบ
- TAG
- เอา
- เป้า
- เป้าหมาย
- ทีม
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- ที่นั่น
- พวกเขา
- นี้
- เหล่านั้น
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ตลอด
- ดังนั้น
- ครั้ง
- ไปยัง
- สอง
- ชนิด
- ตามแบบฉบับ
- ขีด
- ความเข้าใจ
- น่าเสียดาย
- ไม่ทราบ
- บันทึก
- ให้กับคุณ
- ใช้
- ผู้ใช้
- ใช้
- การใช้
- Ve
- รุ่น
- VPN
- ช่องโหว่
- ความอ่อนแอ
- คือ
- ทาง..
- วิธี
- we
- อ่อนแอ
- คือ
- อะไร
- เมื่อ
- ว่า
- ที่
- ทั้งหมด
- ทำไม
- แพร่หลาย
- กับ
- ภายใน
- งาน
- จะ
- XML
- คุณ
- ของคุณ
- ด้วยตัวคุณเอง
- ลมทะเล