Apache ERP زیرو ڈے نامکمل پیچ کے خطرات کو کم کرتا ہے۔

Apache ERP زیرو ڈے نامکمل پیچ کے خطرات کو کم کرتا ہے۔

ٹائم سٹیمپ: 4 جنوری 2024 4:00 PM

نامعلوم گروپوں نے اپاچی کے آف بز انٹرپرائز ریسورس پلاننگ (ERP) فریم ورک میں شناخت شدہ صفر دن کے خطرے کے خلاف تحقیقات شروع کی ہیں - سافٹ ویئر فکسز کو نظرانداز کرنے کے طریقوں کے لیے پیچ کا تجزیہ کرنے کی تیزی سے مقبول حکمت عملی۔

0 دن کا خطرہ (CVE-2023-51467) Apache OFBiz میں، 26 دسمبر کو انکشاف کیا گیا، ایک حملہ آور کو حساس معلومات تک رسائی حاصل کرنے اور ERP فریم ورک کا استعمال کرتے ہوئے ایپلی کیشنز کے خلاف کوڈ پر عمل درآمد کرنے کی اجازت دیتا ہے، سائبر سیکیورٹی فرم SonicWall کے ایک تجزیہ کے مطابق۔ اپاچی سافٹ ویئر فاؤنڈیشن نے اصل میں ایک متعلقہ مسئلے کے لیے ایک پیچ جاری کیا تھا، CVE-2023-49070، لیکن یہ فکس حملے کے دیگر تغیرات سے حفاظت کرنے میں ناکام رہا۔

SonicWall میں خطرے کی تحقیق کے ایگزیکٹو ڈائریکٹر ڈگلس میککی کا کہنا ہے کہ یہ واقعہ حملہ آوروں کی اعلیٰ قدر کی کمزوریوں کے لیے جاری کردہ کسی بھی پیچ کی جانچ پڑتال کرنے کی حکمت عملی پر روشنی ڈالتا ہے - وہ کوششیں جن کے نتیجے میں اکثر سافٹ ویئر فکس کے ارد گرد طریقے تلاش کیے جاتے ہیں۔

"ایک بار جب کسی نے یہ کہنے کی سخت محنت کی کہ 'اوہ، یہاں ایک کمزوری موجود ہے،' اب محققین یا دھمکی دینے والے اداکاروں کا ایک گروپ اس ایک تنگ جگہ کو دیکھ سکتا ہے، اور آپ نے خود کو بہت زیادہ جانچ پڑتال کے لیے کھول دیا ہے۔ ،" وہ کہتے ہیں. "آپ نے کوڈ کے اس حصے کی طرف توجہ مبذول کرائی ہے، اور اگر آپ کا پیچ ٹھوس نہیں ہے یا کوئی چیز چھوٹ گئی ہے، تو اس کے ملنے کا زیادہ امکان ہے کیونکہ آپ کی اس پر اضافی نظر ہے۔"

SonicWall کے محقق حسیب وہورا نے 5 دسمبر کے پیچ کا تجزیہ کیا اور اس مسئلے سے فائدہ اٹھانے کے اضافی طریقے دریافت کیے، جس کی اطلاع کمپنی نے 14 دسمبر کو اپاچی سافٹ ویئر فاؤنڈیشن کو دی۔ 

"ہم CVE-2023-49070 کے لیے پیچ کا تجزیہ کرتے وقت منتخب کردہ تخفیف سے متجسس تھے اور شک تھا کہ اصل توثیق کا بائی پاس اب بھی موجود ہوگا کیونکہ پیچ نے صرف XML RPC کوڈ کو ایپلی کیشن سے ہٹا دیا،" Vhora مسئلہ کے ایک تجزیہ میں کہا. "نتیجے کے طور پر، ہم نے تصنیف بائی پاس کے مسئلے کی اصل وجہ جاننے کے لیے کوڈ کو کھودنے کا فیصلہ کیا۔"

CVE-2023-51467 کے لیے استحصال کی کوششوں کا چارٹ

حملوں نے 26 دسمبر کے انکشاف سے پہلے Apache OfBiz کے خطرے کو نشانہ بنایا۔ ماخذ: سونیک وال

21 دسمبر تک، اس مسئلے کے عوامی ہونے سے پانچ دن پہلے، SonicWall نے پہلے ہی اس مسئلے کے لیے استحصال کی کوششوں کی نشاندہی کر لی تھی۔ 

پیچ نامکمل

اپاچی ایک پیچ جاری کرنے میں اکیلا نہیں ہے جسے حملہ آور نظرانداز کرنے میں کامیاب ہو گئے ہیں۔ 2020 میں، صفر دن کے کارناموں کا استعمال کرتے ہوئے 24 میں سے 25 خطرات (XNUMX%) پر حملہ کیا گیا جو پہلے سے طے شدہ حفاظتی مسائل پر مختلف تھے، بقول گوگل کے تھریٹ اینالیسس گروپ (TAG) کی طرف سے جاری کردہ ڈیٹا. Google ایک تازہ ترین تجزیہ میں کہا گیا ہے۔.

گوگل مینڈینٹ کے سینئر مینیجر جیرڈ سیمراؤ کا کہنا ہے کہ کمپنیاں کسی مسئلے کو مکمل طور پر پیچ کرنے میں ناکام ہونے کی وجوہات بے شمار ہیں، مسئلے کی بنیادی وجہ کو نہ سمجھنے سے لے کر سافٹ ویئر کی کمزوریوں کے بہت بڑے بیک لاگز سے نمٹنے کے لیے ایک جامع حل پر فوری پیچ کو ترجیح دینے تک۔ کمزوری اور استحصالی گروہ۔ 

"ایسا کیوں ہوتا ہے اس کا کوئی سادہ اور واحد جواب نہیں ہے،" وہ کہتے ہیں۔ "کئی عوامل ہیں جو [ایک نامکمل پیچ] میں حصہ ڈال سکتے ہیں، لیکن [سونک وال کے محققین] بالکل درست ہیں - اکثر کمپنیاں صرف معلوم حملہ ویکٹر کو پیچ کر رہی ہیں۔"

گوگل توقع کرتا ہے کہ صفر دن کے کارناموں کا حصہ جو نامکمل طور پر پیچ شدہ خطرات کو نشانہ بناتے ہیں ایک اہم عنصر رہے گا۔ حملہ آور کے نقطہ نظر سے، کسی ایپلیکیشن میں کمزوریوں کا پتہ لگانا مشکل ہے کیونکہ محققین اور دھمکی دینے والے اداکاروں کو 100,000 یا لاکھوں لائنوں کوڈ کو دیکھنا پڑتا ہے۔ امید افزا کمزوریوں پر توجہ مرکوز کرتے ہوئے جن کو شاید صحیح طریقے سے پیچ نہیں کیا گیا ہو، حملہ آور شروع سے شروع کرنے کے بجائے ایک معروف کمزور نقطہ پر حملہ کرنا جاری رکھ سکتے ہیں۔

بز فکس کے ارد گرد ایک راستہ

بہت سے طریقوں سے، Apache OfBiz کی کمزوری کے ساتھ ایسا ہی ہوا۔ اصل رپورٹ میں دو مسائل بیان کیے گئے ہیں: ایک RCE خامی جس کے لیے XML-RPC انٹرفیس (CVE-2023-49070) تک رسائی درکار تھی اور ایک تصدیقی بائی پاس کا مسئلہ جس نے ناقابل اعتماد حملہ آوروں کو یہ رسائی فراہم کی۔ اپاچی سافٹ ویئر فاؤنڈیشن کا خیال تھا کہ XML-RPC اینڈ پوائنٹ کو ہٹانے سے دونوں مسائل کا استحصال ہونے سے بچ جائے گا، ASF سیکیورٹی رسپانس ٹیم نے ڈارک ریڈنگ کے سوالات کے جواب میں کہا۔

ٹیم نے کہا، "بدقسمتی سے ہم نے یاد کیا کہ اسی توثیق بائی پاس نے دوسرے اینڈ پوائنٹس کو بھی متاثر کیا، نہ صرف XML-RPC والا،" ٹیم نے کہا۔ "ایک بار جب ہمیں آگاہ کیا گیا تو، دوسرا پیچ گھنٹوں کے اندر جاری کر دیا گیا۔"

اپاچی سافٹ ویئر فاؤنڈیشن کے ایک رکن، دیپک ڈکشٹ، جو کہ اپاچی کے ذریعہ OFBIZ-12873 کے طور پر ٹریک کیا گیا کمزوری، "حملہ آوروں کو ایک سادہ سرور سائیڈ ریکویسٹ فورجری (SSRF) حاصل کرنے کے لیے تصدیق کو نظرانداز کرنے کی اجازت دیتا ہے۔" Openwall میلنگ لسٹ میں بیان کیا گیا ہے۔. اس نے اس مسئلے کو تلاش کرنے کا سہرا SonicWall کے خطرے کے محقق حسیب وہورا اور دو دیگر محققین - Gao Tian اور L0ne1y کو دیا۔

چونکہ OfBiz ایک فریم ورک ہے، اور اس طرح سافٹ ویئر سپلائی چین کا حصہ ہے، اس لیے خطرے کا اثر وسیع ہو سکتا ہے۔ Sonicwall's McKee کا کہنا ہے کہ مشہور Atlassian Jira پروجیکٹ اور ایشو ٹریکنگ سافٹ ویئر، مثال کے طور پر، OfBiz لائبریری کا استعمال کرتا ہے، لیکن کیا یہ استحصال پلیٹ فارم پر کامیابی کے ساتھ انجام پا سکتا ہے، یہ ابھی تک نامعلوم ہے۔

"یہ اس بات پر منحصر ہے کہ ہر کمپنی اپنے نیٹ ورک کو کس طرح معمار کرتی ہے، جس طرح وہ سافٹ ویئر کو ترتیب دیتی ہے،" وہ کہتے ہیں۔ "میں کہوں گا کہ ایک عام انفراسٹرکچر میں یہ انٹرنیٹ کا سامنا نہیں ہوگا، کہ اسے کسی قسم کے VPN یا اندرونی رسائی کی ضرورت ہوگی۔"

ASF سیکیورٹی رسپانس ٹیم نے کہا کہ کسی بھی صورت میں، کمپنیوں کو اقدامات کرنے چاہئیں اور آف بز کو استعمال کرنے کے لیے مشہور کسی بھی ایپلیکیشن کو تازہ ترین ورژن میں پیچ کرنا چاہیے۔ 

"اپاچی OFBiz کا استعمال کرنے والی کمپنیوں کے لیے ہماری سفارش یہ ہے کہ وہ سیکیورٹی کے بہترین طریقوں پر عمل کریں، بشمول صرف ان صارفین کو سسٹم تک رسائی دینا جن کو اس کی ضرورت ہے، اپنے سافٹ ویئر کو باقاعدگی سے اپ ڈیٹ کرنا یقینی بنانا، اور یہ یقینی بنانا کہ جب آپ سیکیورٹی کی صورت میں جواب دینے کے لیے اچھی طرح سے لیس ہوں۔ ایڈوائزری شائع کی گئی ہے، "انہوں نے کہا۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا