Невідомі групи запустили зонди щодо вразливості нульового дня, виявленої в структурі корпоративного планування ресурсів (ERP) Apache OfBiz — дедалі популярнішою стратегією аналізу патчів для обходу виправлень програмного забезпечення.
Уразливість 0 днів (CVE-2023-51467) в Apache OFBiz, оприлюднений 26 грудня, дозволяє зловмиснику отримати доступ до конфіденційної інформації та віддалено виконувати код проти програм, що використовують структуру ERP, згідно з аналізом фірми з кібербезпеки SonicWall. Apache Software Foundation спочатку випустила патч для відповідної проблеми, CVE-2023-49070, але виправлення не захистило від інших варіантів атаки.
Цей інцидент підкреслює стратегію зловмисників щодо ретельного вивчення будь-яких виправлених патчів на наявність важливих вразливостей — зусилля, які часто призводять до пошуку способів обійти виправлення програмного забезпечення, каже Дуглас МакКі, виконавчий директор із дослідження загроз у SonicWall.
«Коли хтось зробив важку роботу, сказавши: «О, тут існує вразливість», тепер ціла група дослідників або дійових осіб, які загрожують, можуть поглянути на цю вузьку точку, і ви начебто відкрилися для набагато більшої уваги ," він каже. «Ви привернули увагу до цієї частини коду, і якщо ваш патч не надійний або щось було пропущено, його, швидше за все, знайдуть, оскільки ви на нього зайві очі».
Дослідник SonicWall Хасіб Вгора проаналізував патч від 5 грудня та виявив додаткові способи використання проблеми, про що компанія повідомила Apache Software Foundation 14 грудня.
«Під час аналізу патча для CVE-2023-49070 ми були заінтриговані вибраним пом’якшенням, і ми підозрювали, що реальний обхід автентифікації все ще буде присутній, оскільки патч просто видалив код XML RPC із програми», — Вгора йдеться в аналізі питання. «У результаті ми вирішили покопатися в коді, щоб з’ясувати першопричину проблеми з обходом авторизації».
Атаки були спрямовані на вразливість Apache OfBiz до її розкриття 26 грудня. Джерело: Sonicwall
До 21 грудня, за п’ять днів до того, як проблема була оприлюднена, SonicWall вже виявив спроби використання проблеми.
Патч неідеальний
Apache не єдиний, хто випустив патч, який зловмисникам вдалося обійти. Згідно з даними, у 2020 році шість із 24 уразливостей (25%), атакованих за допомогою експлойтів нульового дня, були варіантами раніше виправлених проблем безпеки. дані, оприлюднені Групою аналізу загроз (TAG) Google. До 2022 року 17 із 41 уразливості, атакуваних експлойтами нульового дня (41%), були варіантами раніше виправлених проблем, Google йдеться в оновленому аналізі.
Причин, через які компаніям не вдається повністю виправити проблему, багато, від нерозуміння першопричини проблеми до вирішення величезних резервів уразливостей програмного забезпечення до надання пріоритету негайному виправленню над комплексним виправленням, каже Джаред Семрау, старший менеджер Google Mandiant. група вразливості та експлуатації.
«Немає простої однозначної відповіді на те, чому це відбувається», — каже він. «Є кілька факторів, які можуть сприяти [неповному виправленню], але [дослідники SonicWall] абсолютно праві — багато разів компанії просто виправляють відомий вектор атаки».
Google очікує, що частка експлойтів нульового дня, націлених на неповністю виправлені вразливості, залишатиметься значним фактором. З точки зору зловмисника, знайти вразливі місця в додатку складно, оскільки дослідникам і учасникам загроз доводиться переглядати 100,000 XNUMX або мільйони рядків коду. Зосереджуючись на багатообіцяючих вразливостях, які, можливо, не були належним чином виправлені, зловмисники можуть продовжувати атакувати відомі слабкі місця, а не починати з нуля.
Шлях до вирішення проблеми OfBiz
Багато в чому саме це сталося з уразливістю Apache OfBiz. У оригінальному звіті описано дві проблеми: помилка RCE, яка потребувала доступу до інтерфейсу XML-RPC (CVE-2023-49070), і проблема обходу автентифікації, яка надала цей доступ ненадійним зловмисникам. Apache Software Foundation вважає, що видалення кінцевої точки XML-RPC запобіжить використанню обох проблем, заявила група реагування на питання безпеки ASF у відповіді на запитання Dark Reading.
«На жаль, ми не помітили, що той самий обхід автентифікації також вплинув на інші кінцеві точки, а не лише на XML-RPC», — сказала команда. «Після того, як нам стало відомо, другий патч було видано протягом кількох годин».
Уразливість, відстежувана Apache як OFBIZ-12873, «дозволяє зловмисникам обійти автентифікацію для досягнення простої підробки запитів на стороні сервера (SSRF)», Діпак Діксіт, член Apache Software Foundation, зазначено в списку розсилки Openwall. Він віддав заслугу досліднику загроз SonicWall Хасібу Вгорі та двом іншим дослідникам — Гао Тянь і L0ne1y — у виявленні проблеми.
Оскільки OfBiz є структурою і, отже, частиною ланцюга постачання програмного забезпечення, вплив уразливості може бути широко поширеним. Популярний проект Atlassian Jira та програмне забезпечення для відстеження проблем, наприклад, використовує бібліотеку OfBiz, але чи зможе експлойт успішно запуститися на платформі, досі невідомо, каже МакКі з Sonicwall.
«Це залежатиме від того, як кожна компанія розробляє свою мережу, від того, як вони налаштовують програмне забезпечення», — каже він. «Я б сказав, що типова інфраструктура не матиме такого виходу в Інтернет, що вона потребуватиме певного типу VPN або внутрішнього доступу».
У будь-якому випадку, компанії повинні вжити заходів і виправити будь-які програми, які, як відомо, використовують OfBiz, до останньої версії, заявила група реагування на безпеку ASF.
«Наша рекомендація компаніям, які використовують Apache OFBiz, полягає в тому, щоб дотримуватися найкращих практик безпеки, зокрема надавати доступ до систем лише тим користувачам, які цього потребують, регулярно оновлювати програмне забезпечення та добре споряджатися, щоб реагувати, коли система безпеки консультація опублікована", - сказали вони.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches
- :є
- : ні
- $UP
- 100
- 14
- 17
- 2020
- 2022
- 24
- 26%
- 41
- 7
- a
- абсолютно
- доступ
- За
- Achieve
- актори
- Додатковий
- консультативний
- постраждалих
- проти
- дозволяє
- тільки
- вже
- Також
- an
- аналіз
- проаналізовані
- Аналізуючи
- та
- відповідь
- будь-який
- Apache
- додаток
- застосування
- архітектори
- ЕСТЬ
- ПЛОЩА
- навколо
- AS
- ASF
- At
- атака
- Спроби
- увагу
- Authentication
- знати
- BE
- оскільки
- було
- перед тим
- буття
- вважається,
- КРАЩЕ
- передового досвіду
- обидва
- гроно
- але
- by
- обходити
- CAN
- Викликати
- ланцюг
- Графік
- вибраний
- код
- Компанії
- компанія
- всеосяжний
- продовжувати
- сприяти
- може
- Кібербезпека
- Небезпеки
- темно
- Темне читання
- Днів
- справу
- грудня
- вирішене
- Діпак
- залежати
- описаний
- важкий
- DIG
- Директор
- розкриття
- відкритий
- зроблений
- Дуглас
- звертається
- кожен
- зусилля
- Кінцева точка
- підприємство
- ERP
- Event
- приклад
- виконувати
- виконавчий
- Виконавчий директор
- існує
- чекає
- Експлуатувати
- експлуатація
- експлуатований
- подвигів
- додатково
- очі
- фактор
- фактори
- FAIL
- не вдалося
- Рисунок
- виявлення
- Фірма
- п'ять
- виправляти
- фіксований
- недолік
- фокусування
- стежити
- для
- підробка
- знайдений
- фонд
- Рамки
- від
- повністю
- GAO
- дає
- буде
- Group
- Групи
- було
- сталося
- відбувається
- Жорсткий
- важка робота
- Мати
- he
- тут
- основний момент
- ГОДИННИК
- HTML
- HTTPS
- величезний
- i
- ідентифікований
- if
- зображення
- Негайний
- Impact
- in
- інцидент
- У тому числі
- все більше і більше
- інформація
- Інфраструктура
- інтерфейс
- внутрішній
- в
- isn
- питання
- Випущений
- питання
- IT
- ЙОГО
- JPG
- просто
- Дитина
- відомий
- останній
- запущений
- бібліотека
- Ймовірно
- ліній
- подивитися
- серія
- made
- розсилки
- Робить
- вдалося
- менеджер
- багато
- Може..
- член
- мільйони
- пропущений
- пом'якшення
- більше
- вузький
- Необхідність
- мережу
- немає
- зараз
- численний
- of
- часто
- oh
- on
- один раз
- ONE
- тільки
- відкритий
- or
- оригінал
- спочатку
- Інше
- наші
- з
- над
- частина
- пластир
- Патчі
- Виправлення
- перспектива
- планування
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- точка
- популярний
- практики
- представити
- запобігати
- раніше
- попередній
- визначення пріоритетів
- Проблема
- проблеми
- проект
- перспективний
- правильно
- захист
- за умови
- громадськість
- опублікований
- питань
- швидше
- читання
- реальний
- Причини
- Рекомендація
- регулярно
- пов'язаний
- випущений
- випуску
- залишатися
- віддалено
- Вилучено
- видалення
- звітом
- Повідомляється
- запросити
- вимагати
- вимагається
- дослідження
- дослідник
- Дослідники
- ресурс
- Реагувати
- відповідь
- результат
- право
- Rock
- корінь
- s
- Зазначений
- то ж
- say
- приказка
- говорить
- подряпати
- огляд
- другий
- безпеку
- старший
- чутливий
- кілька
- Поділитись
- Повинен
- значний
- простий
- просто
- з
- один
- SIX
- Софтвер
- ланцюг постачання програмного забезпечення
- solid
- деякі
- Хтось
- що в сім'ї щось
- Source
- Spot
- старт
- заходи
- Як і раніше
- Стратегія
- Успішно
- поставка
- ланцюжка поставок
- Переконайтеся
- Systems
- TAG
- Приймати
- Мета
- цільове
- команда
- ніж
- Що
- Команда
- їх
- Там.
- вони
- це
- ті
- загроза
- актори загроз
- через
- Таким чином
- times
- до
- два
- тип
- типовий
- нижнє підкреслення
- розуміння
- на жаль
- невідомий
- Оновити
- оновлений
- використання
- користувачі
- використовує
- використання
- Ve
- версія
- VPN
- Уразливості
- вразливість
- було
- шлях..
- способи
- we
- слабкий
- були
- Що
- коли
- Чи
- який
- всі
- чому
- широко поширений
- з
- в
- Work
- б
- XML
- Ти
- вашу
- себе
- зефірнет