Apache ERP Zero-Day เน้นย้ำถึงอันตรายจากแพตช์ที่ไม่สมบูรณ์

กลุ่มที่ไม่รู้จักได้เปิดตัวการตรวจสอบช่องโหว่แบบ Zero-day ที่ระบุในเฟรมเวิร์กการวางแผนทรัพยากรองค์กร (ERP) ของ OfBiz ของ Apache ซึ่งเป็นกลยุทธ์ที่ได้รับความนิยมมากขึ้นเรื่อยๆ ในการวิเคราะห์แพตช์เพื่อหาทางเลี่ยงการแก้ไขซอฟต์แวร์

ช่องโหว่ 0 วัน (CVE-2023-51467) ใน Apache OFBiz ซึ่งเปิดเผยเมื่อวันที่ 26 ธันวาคม ช่วยให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนและรันโค้ดจากระยะไกลกับแอปพลิเคชันที่ใช้กรอบงาน ERP ตามการวิเคราะห์โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ SonicWall มูลนิธิซอฟต์แวร์ Apache ได้เปิดตัวแพตช์สำหรับปัญหาที่เกี่ยวข้อง CVE-2023-49070 แต่การแก้ไขล้มเหลวในการป้องกันการโจมตีรูปแบบอื่นๆ

เหตุการณ์ดังกล่าวเน้นย้ำถึงกลยุทธ์ของผู้โจมตีในการตรวจสอบแพตช์ใดๆ ที่เผยแพร่เพื่อหาช่องโหว่ที่มีมูลค่าสูง — ความพยายามซึ่งมักจะส่งผลให้เกิดการหาวิธีแก้ไขซอฟต์แวร์ Douglas McKee ผู้อำนวยการบริหารฝ่ายวิจัยภัยคุกคามของ SonicWall กล่าว

“เมื่อมีคนทำงานหนักโดยพูดว่า 'โอ้ มีช่องโหว่อยู่ที่นี่' ตอนนี้นักวิจัยหรือผู้แสดงภัยคุกคามจำนวนมากสามารถมองที่จุดแคบ ๆ นั้นได้ และคุณได้เปิดใจรับการตรวจสอบอย่างละเอียดมากขึ้น ," เขาพูดว่า. “คุณได้ดึงความสนใจไปที่ส่วนนั้นของโค้ด และหากแพตช์ของคุณไม่มั่นคงหรือขาดหายไป ก็มีแนวโน้มที่จะถูกค้นพบมากขึ้นเนื่องจากคุณจับตาดูมันเป็นพิเศษ”

Hasib Vhora นักวิจัยของ SonicWall วิเคราะห์แพตช์เมื่อวันที่ 5 ธันวาคม และค้นพบวิธีเพิ่มเติมในการใช้ประโยชน์จากปัญหานี้ ซึ่งบริษัทได้รายงานไปยัง Apache Software Foundation เมื่อวันที่ 14 ธันวาคม 

“เรารู้สึกทึ่งกับการบรรเทาที่เลือกไว้เมื่อวิเคราะห์แพตช์สำหรับ CVE-2023-49070 และสงสัยว่าการเลี่ยงการรับรองความถูกต้องที่แท้จริงจะยังคงปรากฏอยู่ เนื่องจากแพตช์เพียงแค่ลบโค้ด XML RPC ออกจากแอปพลิเคชัน” Vhora ระบุไว้ในการวิเคราะห์ปัญหา. “ด้วยเหตุนี้ เราจึงตัดสินใจเจาะลึกโค้ดเพื่อค้นหาสาเหตุที่แท้จริงของปัญหาการบายพาสการรับรองความถูกต้อง”

การโจมตีมุ่งเป้าไปที่ช่องโหว่ Apache OfBiz ก่อนการเปิดเผยในวันที่ 26 ธันวาคม ที่มา: โซนิควอลล์

ภายในวันที่ 21 ธันวาคม ห้าวันก่อนที่ปัญหาดังกล่าวจะเผยแพร่สู่สาธารณะ SonicWall ได้ระบุความพยายามในการแสวงหาประโยชน์จากปัญหานี้แล้ว 

แพทช์ไม่สมบูรณ์

Apache ไม่ได้อยู่คนเดียวในการปล่อยแพตช์ที่ผู้โจมตีสามารถหลีกเลี่ยงได้ ในปี 2020 ช่องโหว่ 24 รายการจากทั้งหมด 25 รายการ (XNUMX%) ที่ถูกโจมตีโดยใช้ช่องโหว่แบบ Zero-day เป็นรูปแบบที่แตกต่างจากปัญหาด้านความปลอดภัยที่ได้รับแพตช์ก่อนหน้านี้ ข้อมูลที่เผยแพร่โดยกลุ่มวิเคราะห์ภัยคุกคาม (TAG) ของ Google. ภายในปี 2022 ช่องโหว่ 17 รายการจาก 41 รายการที่ถูกโจมตีโดยการใช้ประโยชน์จากช่องโหว่แบบ Zero-day (41%) เป็นช่องโหว่จากปัญหาที่ได้รับแพตช์ก่อนหน้านี้ Google ระบุไว้ในการวิเคราะห์ที่อัปเดต.

เหตุผลที่บริษัทต่างๆ ล้มเหลวในการแก้ไขปัญหาอย่างสมบูรณ์นั้นมีมากมาย ตั้งแต่การไม่เข้าใจสาเหตุที่แท้จริงของปัญหาไปจนถึงการจัดการกับช่องโหว่ของซอฟต์แวร์ที่ค้างอยู่จำนวนมาก ไปจนถึงการจัดลำดับความสำคัญของการแก้ไขทันทีมากกว่าการแก้ไขที่ครอบคลุม Jared Semrau ผู้จัดการอาวุโสของ Google Mandiant กล่าว กลุ่มความเปราะบางและการแสวงหาผลประโยชน์ 

“ไม่มีคำตอบง่ายๆ คำตอบเดียวว่าทำไมถึงเกิดเหตุการณ์เช่นนี้” เขากล่าว “มีปัจจัยหลายประการที่สามารถนำไปสู่ ​​[แพตช์ที่ไม่สมบูรณ์] แต่ [นักวิจัยของ SonicWall] นั้นถูกต้องอย่างแน่นอน — หลายครั้งที่บริษัทต่างๆ เพียงแค่แพตช์เวกเตอร์การโจมตีที่รู้จัก”

Google คาดว่าส่วนแบ่งของช่องโหว่แบบ Zero-day ที่กำหนดเป้าหมายไปยังช่องโหว่ที่มีการแก้ไขไม่สมบูรณ์จะยังคงเป็นปัจจัยสำคัญ จากมุมมองของผู้โจมตี การค้นหาช่องโหว่ในแอปพลิเคชันเป็นเรื่องยาก เนื่องจากนักวิจัยและผู้ดำเนินการภัยคุกคามต้องตรวจสอบโค้ดกว่า 100,000 หรือหลายล้านบรรทัด ด้วยการมุ่งเน้นไปที่ช่องโหว่ที่อาจไม่ได้รับการแพตช์อย่างเหมาะสม ผู้โจมตีสามารถโจมตีจุดอ่อนที่ทราบต่อไปได้ แทนที่จะเริ่มจากศูนย์

วิธีการแก้ไข OfBiz

ในหลาย ๆ ด้าน นั่นคือสิ่งที่เกิดขึ้นกับช่องโหว่ Apache OfBiz รายงานต้นฉบับอธิบายปัญหาสองประการ: ข้อบกพร่อง RCE ที่จำเป็นต้องเข้าถึงอินเทอร์เฟซ XML-RPC (CVE-2023-49070) และปัญหาการบายพาสการตรวจสอบสิทธิ์ที่ทำให้ผู้โจมตีที่ไม่น่าเชื่อถือสามารถเข้าถึงการเข้าถึงนี้ได้ มูลนิธิซอฟต์แวร์ Apache เชื่อว่าการลบจุดสิ้นสุด XML-RPC จะป้องกันไม่ให้ทั้งสองปัญหาถูกโจมตี ทีมตอบสนองด้านความปลอดภัย ASF กล่าวว่าการตอบคำถามจาก Dark Reading

“น่าเสียดายที่เราพลาดไปว่าการข้ามการรับรองความถูกต้องแบบเดียวกันยังส่งผลกระทบต่ออุปกรณ์ปลายทางอื่นๆ ไม่ใช่แค่ XML-RPC เท่านั้น” ทีมงานกล่าว “เมื่อเราทราบแล้ว แพทช์ที่สองก็ออกภายในไม่กี่ชั่วโมง”

ช่องโหว่นี้ติดตามโดย Apache ในชื่อ OFBIZ-12873 “ทำให้ผู้โจมตีสามารถเลี่ยงผ่านการรับรองความถูกต้องเพื่อให้บรรลุ Server-Side Request Forgery (SSRF) แบบง่ายๆ” Deepak Dixit สมาชิกของ Apache Software Foundation ระบุไว้ในรายชื่อผู้รับจดหมายของ Openwall. เขาให้เครดิต Hasib Vhora นักวิจัยภัยคุกคาม SonicWall และนักวิจัยอีกสองคน ได้แก่ Gao Tian และ L0ne1y ในการค้นหาปัญหานี้

เนื่องจาก OfBiz เป็นเฟรมเวิร์ก และเป็นส่วนหนึ่งของห่วงโซ่อุปทานซอฟต์แวร์ ผลกระทบของช่องโหว่จึงอาจแพร่กระจายอย่างกว้างขวาง ตัวอย่างเช่น โครงการ Atlassian Jira ยอดนิยมและซอฟต์แวร์ติดตามปัญหา ใช้ไลบรารี OfBiz แต่ช่องโหว่ดังกล่าวสามารถดำเนินการบนแพลตฟอร์มได้สำเร็จหรือไม่นั้นยังไม่เป็นที่ทราบแน่ชัด McKee จาก Sonicwall กล่าว

“มันจะขึ้นอยู่กับวิธีที่แต่ละบริษัทออกแบบเครือข่ายของตน และวิธีกำหนดค่าซอฟต์แวร์” เขากล่าว “ฉันจะบอกว่าโครงสร้างพื้นฐานทั่วไปจะไม่เชื่อมต่อกับอินเทอร์เน็ต และต้องใช้ VPN บางประเภทหรือการเข้าถึงภายใน”

ไม่ว่าในกรณีใด บริษัทต่างๆ ควรดำเนินการและแก้ไขแอปพลิเคชันใดๆ ที่ทราบว่าใช้ OfBiz เป็นเวอร์ชันล่าสุด ทีมตอบสนองด้านความปลอดภัย ASF กล่าว 

“คำแนะนำของเราสำหรับบริษัทที่ใช้ Apache OFBiz คือการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย รวมถึงการให้สิทธิ์การเข้าถึงระบบแก่ผู้ใช้ที่ต้องการเท่านั้น ตรวจสอบให้แน่ใจว่าได้อัปเดตซอฟต์แวร์ของคุณเป็นประจำ และตรวจสอบให้แน่ใจว่าคุณมีความพร้อมที่จะตอบสนองเมื่อมีการรักษาความปลอดภัย มีการเผยแพร่คำแนะนำแล้ว” พวกเขากล่าว

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches