Các nhóm không xác định đã tiến hành các cuộc thăm dò chống lại lỗ hổng zero-day được xác định trong khung hoạch định nguồn lực doanh nghiệp OfBiz (ERP) của Apache - một chiến lược phân tích các bản vá ngày càng phổ biến để tìm cách vượt qua các bản sửa lỗi phần mềm.
Lỗ hổng 0 ngày (CVE-2023-51467) theo phân tích của công ty an ninh mạng SonicWall, trong Apache OFBiz, được tiết lộ vào ngày 26 tháng 2023, cho phép kẻ tấn công truy cập thông tin nhạy cảm và thực thi mã từ xa đối với các ứng dụng sử dụng khung ERP. Tổ chức phần mềm Apache ban đầu đã phát hành bản vá cho sự cố liên quan, CVE-49070-XNUMX, nhưng bản sửa lỗi không thể bảo vệ khỏi các biến thể khác của cuộc tấn công.
Douglas McKee, giám đốc điều hành nghiên cứu mối đe dọa tại SonicWall, cho biết vụ việc nêu bật chiến lược của kẻ tấn công là xem xét kỹ lưỡng mọi bản vá được phát hành để tìm các lỗ hổng có giá trị cao – những nỗ lực thường dẫn đến việc tìm cách khắc phục phần mềm.
“Sau khi ai đó đã cố gắng hết sức để nói, 'Ồ, có một lỗ hổng ở đây', giờ đây, cả nhóm nhà nghiên cứu hoặc kẻ đe dọa có thể nhìn vào một điểm hẹp đó và bạn đã tự mở ra cho mình nhiều sự xem xét kỹ lưỡng hơn ," anh ta nói. “Bạn đã thu hút sự chú ý đến vùng mã đó và nếu bản vá của bạn không chắc chắn hoặc có thứ gì đó bị bỏ sót, thì nhiều khả năng nó sẽ được tìm thấy vì bạn đã để ý nhiều hơn đến nó.”
Nhà nghiên cứu Hasib Vhora của SonicWall đã phân tích bản vá ngày 5 tháng 14 và phát hiện ra các cách bổ sung để khai thác vấn đề. Công ty đã báo cáo với Tổ chức Phần mềm Apache vào ngày XNUMX tháng XNUMX.
“Chúng tôi bị thu hút bởi biện pháp giảm thiểu đã chọn khi phân tích bản vá cho CVE-2023-49070 và nghi ngờ rằng việc bỏ qua xác thực thực sự vẫn sẽ xuất hiện vì bản vá chỉ xóa mã XML RPC khỏi ứng dụng,” Vhora nêu trong phần phân tích vấn đề. “Do đó, chúng tôi quyết định đào sâu vào mã để tìm ra nguyên nhân cốt lõi của vấn đề bỏ qua xác thực.”
Các cuộc tấn công nhắm vào lỗ hổng Apache OfBiz trước khi được tiết lộ vào ngày 26 tháng XNUMX. Nguồn: Sonicwall
Đến ngày 21 tháng XNUMX, năm ngày trước khi vấn đề được công bố, SonicWall đã xác định được các nỗ lực khai thác vấn đề này.
Bản vá không hoàn hảo
Apache không đơn độc trong việc phát hành bản vá mà những kẻ tấn công đã vượt qua được. Vào năm 2020, sáu trong số 24 lỗ hổng (25%) bị tấn công bằng cách khai thác zero-day là các biến thể của các vấn đề bảo mật đã được vá trước đó, theo dữ liệu do Nhóm phân tích mối đe dọa của Google (TAG) phát hành. Đến năm 2022, 17 trong số 41 lỗ hổng bị tấn công bằng cách khai thác zero-day (41%) là các biến thể của các vấn đề đã được vá trước đó, Google nêu trong một phân tích cập nhật.
Jared Semrau, quản lý cấp cao của Google Mandiant, cho biết có rất nhiều lý do khiến các công ty không thể vá một cách triệt để một vấn đề, từ việc không hiểu nguyên nhân cốt lõi của vấn đề đến việc xử lý các lỗ hổng phần mềm tồn đọng lớn cho đến việc ưu tiên một bản vá ngay lập tức thay vì một bản sửa lỗi toàn diện. nhóm dễ bị tổn thương và bóc lột.
“Không có câu trả lời đơn giản và duy nhất cho việc tại sao điều này lại xảy ra,” ông nói. “Có một số yếu tố có thể góp phần tạo ra [bản vá chưa hoàn chỉnh], nhưng [các nhà nghiên cứu của SonicWall] hoàn toàn đúng - rất nhiều khi các công ty chỉ vá các vectơ tấn công đã biết.”
Google hy vọng rằng tỷ lệ khai thác zero-day nhắm vào các lỗ hổng được vá chưa đầy đủ vẫn là một yếu tố quan trọng. Từ góc độ kẻ tấn công, việc tìm ra lỗ hổng trong một ứng dụng là rất khó vì các nhà nghiên cứu và tác nhân đe dọa phải xem qua 100,000 hoặc hàng triệu dòng mã. Bằng cách tập trung vào các lỗ hổng đầy hứa hẹn có thể chưa được vá đúng cách, kẻ tấn công có thể tiếp tục tấn công vào điểm yếu đã biết thay vì bắt đầu lại từ đầu.
Một cách khắc phục OfBiz
Theo nhiều cách, đó là những gì đã xảy ra với lỗ hổng Apache OfBiz. Báo cáo ban đầu mô tả hai vấn đề: một lỗ hổng RCE yêu cầu quyền truy cập vào giao diện XML-RPC (CVE-2023-49070) và một vấn đề bỏ qua xác thực đã cung cấp cho những kẻ tấn công không đáng tin cậy quyền truy cập này. Tổ chức phần mềm Apache tin rằng việc loại bỏ điểm cuối XML-RPC sẽ ngăn chặn việc khai thác cả hai vấn đề, nhóm phản hồi bảo mật ASF cho biết khi trả lời các câu hỏi từ Dark Reading.
Nhóm cho biết: “Thật không may, chúng tôi đã bỏ sót rằng việc bỏ qua xác thực tương tự cũng ảnh hưởng đến các điểm cuối khác, không chỉ điểm XML-RPC”. “Sau khi chúng tôi được biết, bản vá thứ hai đã được phát hành trong vòng vài giờ.”
Lỗ hổng được Apache theo dõi là OFBIZ-12873, “cho phép kẻ tấn công bỏ qua xác thực để đạt được Giả mạo yêu cầu phía máy chủ (SSRF) đơn giản”, Deepak Dixit, một thành viên của Quỹ phần mềm Apache, cho biết. được nêu trong danh sách gửi thư Openwall. Ông ghi nhận công lao của nhà nghiên cứu mối đe dọa SonicWall Hasib Vhora và hai nhà nghiên cứu khác – Gao Tian và L0ne1y – trong việc tìm ra vấn đề.
Vì OfBiz là một framework và do đó là một phần của chuỗi cung ứng phần mềm nên tác động của lỗ hổng bảo mật có thể lan rộng. Ví dụ, dự án Atlassian Jira và phần mềm theo dõi vấn đề phổ biến sử dụng thư viện OfBiz, nhưng liệu việc khai thác có thể thực hiện thành công trên nền tảng hay không vẫn chưa rõ, McKee của Sonicwall cho biết.
Ông nói: “Điều này sẽ phụ thuộc vào cách mỗi công ty xây dựng mạng của họ, cách họ định cấu hình phần mềm”. “Tôi có thể nói rằng một cơ sở hạ tầng thông thường sẽ không có kết nối Internet như thế này và nó sẽ yêu cầu một số loại VPN hoặc quyền truy cập nội bộ.”
Nhóm phản ứng bảo mật ASF cho biết trong mọi trường hợp, các công ty nên thực hiện các bước và vá bất kỳ ứng dụng nào được biết là sử dụng OfBiz lên phiên bản mới nhất.
“Khuyến nghị của chúng tôi dành cho các công ty sử dụng Apache OFBiz là tuân theo các biện pháp bảo mật tốt nhất, bao gồm chỉ cấp quyền truy cập vào hệ thống cho những người dùng cần nó, đảm bảo cập nhật thường xuyên phần mềm của bạn và đảm bảo rằng bạn được trang bị tốt để ứng phó khi có sự cố bảo mật. lời khuyên đã được công bố,” họ nói.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches
- :là
- :không phải
- $ LÊN
- 100
- 14
- 17
- 2020
- 2022
- 24
- 26%
- 41
- 7
- a
- hoàn toàn
- truy cập
- Theo
- Đạt được
- diễn viên
- thêm vào
- cố vấn
- bị ảnh hưởng
- chống lại
- cho phép
- cô đơn
- Đã
- Ngoài ra
- an
- phân tích
- phân tích
- phân tích
- và
- trả lời
- bất kì
- Apache
- Các Ứng Dụng
- các ứng dụng
- kiến trúc sư
- LÀ
- KHU VỰC
- xung quanh
- AS
- ASF
- At
- tấn công
- Nỗ lực
- sự chú ý
- Xác thực
- nhận thức
- BE
- bởi vì
- được
- trước
- được
- tin
- BEST
- thực hành tốt nhất
- cả hai
- xăn lên
- nhưng
- by
- bỏ qua
- CAN
- Nguyên nhân
- chuỗi
- Biểu đồ
- lựa chọn
- mã
- Các công ty
- công ty
- toàn diện
- tiếp tục
- Góp phần
- có thể
- An ninh mạng
- nguy hiểm
- tối
- Đọc tối
- Ngày
- xử lý
- Tháng mười hai
- quyết định
- Deepak
- phụ thuộc
- mô tả
- khó khăn
- ĐÀO
- Giám đốc
- công bố thông tin
- phát hiện
- thực hiện
- douglas
- rút ra
- mỗi
- những nỗ lực
- Điểm cuối
- Doanh nghiệp
- ERP
- Sự kiện
- ví dụ
- thi hành
- điều hành
- Giám đốc điều hành
- tồn tại
- kỳ vọng
- Khai thác
- khai thác
- khai thác
- khai thác
- thêm
- Mắt
- yếu tố
- các yếu tố
- FAIL
- thất bại
- Hình
- tìm kiếm
- Công ty
- năm
- Sửa chữa
- nhất định
- lỗ hổng
- tập trung
- theo
- Trong
- sự giả mạo
- tìm thấy
- Nền tảng
- Khung
- từ
- đầy đủ
- GAO
- Cho
- đi
- Nhóm
- Các nhóm
- có
- đã xảy ra
- xảy ra
- Cứng
- công việc khó khăn
- Có
- he
- tại đây
- nổi bật
- GIỜ LÀM VIỆC
- HTML
- HTTPS
- lớn
- i
- xác định
- if
- hình ảnh
- lập tức
- Va chạm
- in
- sự cố
- Bao gồm
- lên
- thông tin
- Cơ sở hạ tầng
- Giao thức
- nội bộ
- trong
- isn
- vấn đề
- Ban hành
- các vấn đề
- IT
- ITS
- jpg
- chỉ
- Loại
- nổi tiếng
- mới nhất
- phát động
- Thư viện
- Có khả năng
- dòng
- Xem
- Rất nhiều
- thực hiện
- gửi thư
- Làm
- quản lý
- giám đốc
- nhiều
- Có thể..
- hội viên
- hàng triệu
- nhỡ
- giảm nhẹ
- chi tiết
- hẹp
- Cần
- mạng
- Không
- tại
- nhiều
- of
- thường
- oh
- on
- hàng loạt
- ONE
- có thể
- mở
- or
- nguyên
- ban đầu
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- kết thúc
- một phần
- Vá
- Các bản vá lỗi
- Vá
- quan điểm
- lập kế hoạch
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- Phổ biến
- thực hành
- trình bày
- ngăn chặn
- trước đây
- Trước khi
- ưu tiên
- Vấn đề
- vấn đề
- dự án
- hứa hẹn
- đúng
- bảo vệ
- cung cấp
- công khai
- công bố
- Câu hỏi
- hơn
- Reading
- thực
- lý do
- Khuyến nghị
- thường xuyên
- liên quan
- phát hành
- phát hành
- vẫn
- từ xa
- Đã loại bỏ
- loại bỏ
- báo cáo
- Báo cáo
- yêu cầu
- yêu cầu
- cần phải
- nghiên cứu
- nhà nghiên cứu
- nhà nghiên cứu
- tài nguyên
- Trả lời
- phản ứng
- kết quả
- ngay
- Đá
- nguồn gốc
- s
- Nói
- tương tự
- nói
- nói
- nói
- xước
- giám sát
- Thứ hai
- an ninh
- cao cấp
- nhạy cảm
- một số
- Chia sẻ
- nên
- có ý nghĩa
- Đơn giản
- đơn giản
- kể từ khi
- duy nhất
- Six
- Phần mềm
- chuỗi cung ứng phần mềm
- rắn
- một số
- Một người nào đó
- một cái gì đó
- nguồn
- Spot
- Bắt đầu
- Các bước
- Vẫn còn
- Chiến lược
- Thành công
- cung cấp
- chuỗi cung ứng
- chắc chắn
- hệ thống
- TAG
- Hãy
- Mục tiêu
- nhắm mục tiêu
- nhóm
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Đó
- họ
- điều này
- những
- mối đe dọa
- diễn viên đe dọa
- Thông qua
- Như vậy
- thời gian
- đến
- hai
- kiểu
- điển hình
- gạch
- sự hiểu biết
- không may
- không xác định
- Cập nhật
- cập nhật
- sử dụng
- Người sử dụng
- sử dụng
- sử dụng
- Ve
- phiên bản
- VPN
- Lỗ hổng
- dễ bị tổn thương
- là
- Đường..
- cách
- we
- yếu
- là
- Điều gì
- khi nào
- liệu
- cái nào
- toàn bộ
- tại sao
- phổ biến rộng rãi
- với
- ở trong
- Công việc
- sẽ
- XML
- Bạn
- trên màn hình
- mình
- zephyrnet