نامعلوم گروپوں نے اپاچی کے آف بز انٹرپرائز ریسورس پلاننگ (ERP) فریم ورک میں شناخت شدہ صفر دن کے خطرے کے خلاف تحقیقات شروع کی ہیں - سافٹ ویئر فکسز کو نظرانداز کرنے کے طریقوں کے لیے پیچ کا تجزیہ کرنے کی تیزی سے مقبول حکمت عملی۔
0 دن کا خطرہ (CVE-2023-51467) Apache OFBiz میں، 26 دسمبر کو انکشاف کیا گیا، ایک حملہ آور کو حساس معلومات تک رسائی حاصل کرنے اور ERP فریم ورک کا استعمال کرتے ہوئے ایپلی کیشنز کے خلاف کوڈ پر عمل درآمد کرنے کی اجازت دیتا ہے، سائبر سیکیورٹی فرم SonicWall کے ایک تجزیہ کے مطابق۔ اپاچی سافٹ ویئر فاؤنڈیشن نے اصل میں ایک متعلقہ مسئلے کے لیے ایک پیچ جاری کیا تھا، CVE-2023-49070، لیکن یہ فکس حملے کے دیگر تغیرات سے حفاظت کرنے میں ناکام رہا۔
SonicWall میں خطرے کی تحقیق کے ایگزیکٹو ڈائریکٹر ڈگلس میککی کا کہنا ہے کہ یہ واقعہ حملہ آوروں کی اعلیٰ قدر کی کمزوریوں کے لیے جاری کردہ کسی بھی پیچ کی جانچ پڑتال کرنے کی حکمت عملی پر روشنی ڈالتا ہے - وہ کوششیں جن کے نتیجے میں اکثر سافٹ ویئر فکس کے ارد گرد طریقے تلاش کیے جاتے ہیں۔
"ایک بار جب کسی نے یہ کہنے کی سخت محنت کی کہ 'اوہ، یہاں ایک کمزوری موجود ہے،' اب محققین یا دھمکی دینے والے اداکاروں کا ایک گروپ اس ایک تنگ جگہ کو دیکھ سکتا ہے، اور آپ نے خود کو بہت زیادہ جانچ پڑتال کے لیے کھول دیا ہے۔ ،" وہ کہتے ہیں. "آپ نے کوڈ کے اس حصے کی طرف توجہ مبذول کرائی ہے، اور اگر آپ کا پیچ ٹھوس نہیں ہے یا کوئی چیز چھوٹ گئی ہے، تو اس کے ملنے کا زیادہ امکان ہے کیونکہ آپ کی اس پر اضافی نظر ہے۔"
SonicWall کے محقق حسیب وہورا نے 5 دسمبر کے پیچ کا تجزیہ کیا اور اس مسئلے سے فائدہ اٹھانے کے اضافی طریقے دریافت کیے، جس کی اطلاع کمپنی نے 14 دسمبر کو اپاچی سافٹ ویئر فاؤنڈیشن کو دی۔
"ہم CVE-2023-49070 کے لیے پیچ کا تجزیہ کرتے وقت منتخب کردہ تخفیف سے متجسس تھے اور شک تھا کہ اصل توثیق کا بائی پاس اب بھی موجود ہوگا کیونکہ پیچ نے صرف XML RPC کوڈ کو ایپلی کیشن سے ہٹا دیا،" Vhora مسئلہ کے ایک تجزیہ میں کہا. "نتیجے کے طور پر، ہم نے تصنیف بائی پاس کے مسئلے کی اصل وجہ جاننے کے لیے کوڈ کو کھودنے کا فیصلہ کیا۔"
حملوں نے 26 دسمبر کے انکشاف سے پہلے Apache OfBiz کے خطرے کو نشانہ بنایا۔ ماخذ: سونیک وال
21 دسمبر تک، اس مسئلے کے عوامی ہونے سے پانچ دن پہلے، SonicWall نے پہلے ہی اس مسئلے کے لیے استحصال کی کوششوں کی نشاندہی کر لی تھی۔
پیچ نامکمل
اپاچی ایک پیچ جاری کرنے میں اکیلا نہیں ہے جسے حملہ آور نظرانداز کرنے میں کامیاب ہو گئے ہیں۔ 2020 میں، صفر دن کے کارناموں کا استعمال کرتے ہوئے 24 میں سے 25 خطرات (XNUMX%) پر حملہ کیا گیا جو پہلے سے طے شدہ حفاظتی مسائل پر مختلف تھے، بقول گوگل کے تھریٹ اینالیسس گروپ (TAG) کی طرف سے جاری کردہ ڈیٹا. Google ایک تازہ ترین تجزیہ میں کہا گیا ہے۔.
گوگل مینڈینٹ کے سینئر مینیجر جیرڈ سیمراؤ کا کہنا ہے کہ کمپنیاں کسی مسئلے کو مکمل طور پر پیچ کرنے میں ناکام ہونے کی وجوہات بے شمار ہیں، مسئلے کی بنیادی وجہ کو نہ سمجھنے سے لے کر سافٹ ویئر کی کمزوریوں کے بہت بڑے بیک لاگز سے نمٹنے کے لیے ایک جامع حل پر فوری پیچ کو ترجیح دینے تک۔ کمزوری اور استحصالی گروہ۔
"ایسا کیوں ہوتا ہے اس کا کوئی سادہ اور واحد جواب نہیں ہے،" وہ کہتے ہیں۔ "کئی عوامل ہیں جو [ایک نامکمل پیچ] میں حصہ ڈال سکتے ہیں، لیکن [سونک وال کے محققین] بالکل درست ہیں - اکثر کمپنیاں صرف معلوم حملہ ویکٹر کو پیچ کر رہی ہیں۔"
گوگل توقع کرتا ہے کہ صفر دن کے کارناموں کا حصہ جو نامکمل طور پر پیچ شدہ خطرات کو نشانہ بناتے ہیں ایک اہم عنصر رہے گا۔ حملہ آور کے نقطہ نظر سے، کسی ایپلیکیشن میں کمزوریوں کا پتہ لگانا مشکل ہے کیونکہ محققین اور دھمکی دینے والے اداکاروں کو 100,000 یا لاکھوں لائنوں کوڈ کو دیکھنا پڑتا ہے۔ امید افزا کمزوریوں پر توجہ مرکوز کرتے ہوئے جن کو شاید صحیح طریقے سے پیچ نہیں کیا گیا ہو، حملہ آور شروع سے شروع کرنے کے بجائے ایک معروف کمزور نقطہ پر حملہ کرنا جاری رکھ سکتے ہیں۔
بز فکس کے ارد گرد ایک راستہ
بہت سے طریقوں سے، Apache OfBiz کی کمزوری کے ساتھ ایسا ہی ہوا۔ اصل رپورٹ میں دو مسائل بیان کیے گئے ہیں: ایک RCE خامی جس کے لیے XML-RPC انٹرفیس (CVE-2023-49070) تک رسائی درکار تھی اور ایک تصدیقی بائی پاس کا مسئلہ جس نے ناقابل اعتماد حملہ آوروں کو یہ رسائی فراہم کی۔ اپاچی سافٹ ویئر فاؤنڈیشن کا خیال تھا کہ XML-RPC اینڈ پوائنٹ کو ہٹانے سے دونوں مسائل کا استحصال ہونے سے بچ جائے گا، ASF سیکیورٹی رسپانس ٹیم نے ڈارک ریڈنگ کے سوالات کے جواب میں کہا۔
ٹیم نے کہا، "بدقسمتی سے ہم نے یاد کیا کہ اسی توثیق بائی پاس نے دوسرے اینڈ پوائنٹس کو بھی متاثر کیا، نہ صرف XML-RPC والا،" ٹیم نے کہا۔ "ایک بار جب ہمیں آگاہ کیا گیا تو، دوسرا پیچ گھنٹوں کے اندر جاری کر دیا گیا۔"
اپاچی سافٹ ویئر فاؤنڈیشن کے ایک رکن، دیپک ڈکشٹ، جو کہ اپاچی کے ذریعہ OFBIZ-12873 کے طور پر ٹریک کیا گیا کمزوری، "حملہ آوروں کو ایک سادہ سرور سائیڈ ریکویسٹ فورجری (SSRF) حاصل کرنے کے لیے تصدیق کو نظرانداز کرنے کی اجازت دیتا ہے۔" Openwall میلنگ لسٹ میں بیان کیا گیا ہے۔. اس نے اس مسئلے کو تلاش کرنے کا سہرا SonicWall کے خطرے کے محقق حسیب وہورا اور دو دیگر محققین - Gao Tian اور L0ne1y کو دیا۔
چونکہ OfBiz ایک فریم ورک ہے، اور اس طرح سافٹ ویئر سپلائی چین کا حصہ ہے، اس لیے خطرے کا اثر وسیع ہو سکتا ہے۔ Sonicwall's McKee کا کہنا ہے کہ مشہور Atlassian Jira پروجیکٹ اور ایشو ٹریکنگ سافٹ ویئر، مثال کے طور پر، OfBiz لائبریری کا استعمال کرتا ہے، لیکن کیا یہ استحصال پلیٹ فارم پر کامیابی کے ساتھ انجام پا سکتا ہے، یہ ابھی تک نامعلوم ہے۔
"یہ اس بات پر منحصر ہے کہ ہر کمپنی اپنے نیٹ ورک کو کس طرح معمار کرتی ہے، جس طرح وہ سافٹ ویئر کو ترتیب دیتی ہے،" وہ کہتے ہیں۔ "میں کہوں گا کہ ایک عام انفراسٹرکچر میں یہ انٹرنیٹ کا سامنا نہیں ہوگا، کہ اسے کسی قسم کے VPN یا اندرونی رسائی کی ضرورت ہوگی۔"
ASF سیکیورٹی رسپانس ٹیم نے کہا کہ کسی بھی صورت میں، کمپنیوں کو اقدامات کرنے چاہئیں اور آف بز کو استعمال کرنے کے لیے مشہور کسی بھی ایپلیکیشن کو تازہ ترین ورژن میں پیچ کرنا چاہیے۔
"اپاچی OFBiz کا استعمال کرنے والی کمپنیوں کے لیے ہماری سفارش یہ ہے کہ وہ سیکیورٹی کے بہترین طریقوں پر عمل کریں، بشمول صرف ان صارفین کو سسٹم تک رسائی دینا جن کو اس کی ضرورت ہے، اپنے سافٹ ویئر کو باقاعدگی سے اپ ڈیٹ کرنا یقینی بنانا، اور یہ یقینی بنانا کہ جب آپ سیکیورٹی کی صورت میں جواب دینے کے لیے اچھی طرح سے لیس ہوں۔ ایڈوائزری شائع کی گئی ہے، "انہوں نے کہا۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches
- : ہے
- : نہیں
- $UP
- 100
- 14
- 17
- 2020
- 2022
- 24
- 26٪
- 41
- 7
- a
- بالکل
- تک رسائی حاصل
- کے مطابق
- حاصل
- اداکار
- ایڈیشنل
- مشاورتی
- متاثر
- کے خلاف
- کی اجازت دیتا ہے
- اکیلے
- پہلے ہی
- بھی
- an
- تجزیہ
- تجزیہ کیا
- تجزیہ
- اور
- جواب
- کوئی بھی
- اپاچی
- درخواست
- ایپلی کیشنز
- آرکیٹیکٹس
- کیا
- رقبہ
- ارد گرد
- AS
- اے ایس ایف
- At
- حملہ
- کوششیں
- توجہ
- کی توثیق
- آگاہ
- BE
- کیونکہ
- رہا
- اس سے پہلے
- کیا جا رہا ہے
- خیال کیا
- BEST
- بہترین طریقوں
- دونوں
- گچرچھا
- لیکن
- by
- بائی پاس
- کر سکتے ہیں
- کیونکہ
- چین
- چارٹ
- منتخب کیا
- کوڈ
- کمپنیاں
- کمپنی کے
- وسیع
- جاری
- شراکت
- سکتا ہے
- سائبر سیکیورٹی
- خطرات
- گہرا
- گہرا پڑھنا
- دن
- معاملہ
- دسمبر
- فیصلہ کیا
- دیپک
- انحصار
- بیان کیا
- مشکل
- ڈی آئی جی
- ڈائریکٹر
- انکشاف
- دریافت
- کیا
- douglas
- مواقع
- ہر ایک
- کوششوں
- اختتام پوائنٹ
- انٹرپرائز
- ERP
- واقعہ
- مثال کے طور پر
- عملدرآمد
- ایگزیکٹو
- ایگزیکٹو ڈائریکٹر
- موجود ہے
- امید ہے
- دھماکہ
- استحصال
- استحصال کیا۔
- استحصال
- اضافی
- آنکھیں
- عنصر
- عوامل
- FAIL
- ناکام
- اعداد و شمار
- تلاش
- فرم
- پانچ
- درست کریں
- مقررہ
- غلطی
- توجہ مرکوز
- پر عمل کریں
- کے لئے
- جعلسازی
- ملا
- فاؤنڈیشن
- فریم ورک
- سے
- مکمل طور پر
- گاو
- دے
- جا
- گوگل
- گروپ
- گروپ کا
- تھا
- ہوا
- ہوتا ہے
- ہارڈ
- مشکل کام
- ہے
- he
- یہاں
- پر روشنی ڈالی گئی
- HOURS
- HTML
- HTTPS
- بھاری
- i
- کی نشاندہی
- if
- تصویر
- فوری طور پر
- اثر
- in
- واقعہ
- سمیت
- دن بدن
- معلومات
- انفراسٹرکچر
- انٹرفیس
- اندرونی
- میں
- نہیں
- مسئلہ
- جاری
- مسائل
- IT
- میں
- فوٹو
- صرف
- بچے
- جانا جاتا ہے
- تازہ ترین
- شروع
- لائبریری
- امکان
- لائنوں
- دیکھو
- بہت
- بنا
- میلنگ
- بنانا
- میں کامیاب
- مینیجر
- بہت سے
- مئی..
- رکن
- لاکھوں
- یاد آیا
- تخفیف
- زیادہ
- تنگ
- ضرورت ہے
- نیٹ ورک
- نہیں
- اب
- متعدد
- of
- اکثر
- oh
- on
- ایک بار
- ایک
- صرف
- کھول دیا
- or
- اصل
- اصل میں
- دیگر
- ہمارے
- باہر
- پر
- حصہ
- پیچ
- پیچ
- پیچ کرنا
- نقطہ نظر
- منصوبہ بندی
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹ
- مقبول
- طریقوں
- حال (-)
- کی روک تھام
- پہلے
- پہلے
- ترجیح
- مسئلہ
- مسائل
- منصوبے
- وعدہ
- مناسب طریقے سے
- حفاظت
- فراہم
- عوامی
- شائع
- سوالات
- بلکہ
- پڑھنا
- اصلی
- وجوہات
- سفارش
- باقاعدگی سے
- متعلقہ
- جاری
- جاری
- رہے
- دور
- ہٹا دیا گیا
- کو ہٹانے کے
- رپورٹ
- اطلاع دی
- درخواست
- کی ضرورت
- ضرورت
- تحقیق
- محقق
- محققین
- وسائل
- جواب
- جواب
- نتیجہ
- ٹھیک ہے
- پتھر
- جڑ
- s
- کہا
- اسی
- کا کہنا ہے کہ
- یہ کہہ
- کا کہنا ہے کہ
- فیرنا
- جانچ پڑتال کے
- دوسری
- سیکورٹی
- سینئر
- حساس
- کئی
- سیکنڈ اور
- ہونا چاہئے
- اہم
- سادہ
- صرف
- بعد
- ایک
- چھ
- سافٹ ویئر کی
- سافٹ ویئر سپلائی چین
- ٹھوس
- کچھ
- کسی
- کچھ
- ماخذ
- کمرشل
- شروع کریں
- مراحل
- ابھی تک
- حکمت عملی
- کامیابی کے ساتھ
- فراہمی
- فراہمی کا سلسلہ
- اس بات کا یقین
- سسٹمز
- TAG
- لے لو
- ہدف
- ھدف بنائے گئے
- ٹیم
- سے
- کہ
- ۔
- ان
- وہاں.
- وہ
- اس
- ان
- خطرہ
- دھمکی دینے والے اداکار
- کے ذریعے
- اس طرح
- اوقات
- کرنے کے لئے
- دو
- قسم
- ٹھیٹھ
- اندراج
- افہام و تفہیم
- بدقسمتی سے
- نامعلوم
- اپ ڈیٹ کریں
- اپ ڈیٹ
- استعمال کی شرائط
- صارفین
- استعمال
- کا استعمال کرتے ہوئے
- Ve
- ورژن
- VPN
- نقصان دہ
- خطرے کا سامنا
- تھا
- راستہ..
- طریقوں
- we
- کمزور
- تھے
- کیا
- جب
- چاہے
- جس
- پوری
- کیوں
- وسیع پیمانے پر
- ساتھ
- کے اندر
- کام
- گا
- XML
- تم
- اور
- اپنے آپ کو
- زیفیرنیٹ