Apache上个月修复了OfBiz企业资源规划(ERP)框架中的一个漏洞,但攻击者和研究人员找到了绕过该补丁的方法。未知组织已针对Apache的OfBiz企业资源规划(ERP)框架中发现的零日漏洞发起了调查,该框架是一种日益流行的分析补丁以寻找绕过软件修复方法的策略。
根据网络安全公司分析,12月26日披露的ApacheOFBiz中的0day漏洞(CVE-2023-51467)允许攻击者访问敏感信息并针对使用ERP框架的应用程序远程执行代码。Apache软件基金会最初发布了针对相关问题的补丁CVE-2023-49070,但该修复无法防范其他变体的攻击。
研究人员表示,该事件突显了攻击者对针对高价值漏洞发布的任何补丁进行仔细审查的策略,这些努力通常会导致找到绕过软件修复的方法。
研究人员分析了12月5日的补丁,发现了利用该问题的其他方法,该公司于12月14日向Apache软件基金会报告了这一情况。
在分析CVE-2023-49070补丁时,我们对所选择的缓解措施很感兴趣,并怀疑真正的身份验证绕过仍然存在,因为该补丁只是从应用程序中删除了XMLRPC代码。因此,我们决定深入研究代码,找出身份验证绕过问题的根本原因。
在12月26日披露之前,攻击针对的是ApacheOfBiz漏洞。
到12月21日,即该问题公开的前五天,研究人员已经发现了针对该问题的利用尝试。
补丁不完美
Apache并不是唯一一家发布了攻击者设法绕过的补丁的公司。根据谷歌威胁分析小组(TAG)发布的数据,2020年,使用零日漏洞攻击的24个漏洞中有6个(25%)是之前修补的安全问题的变体。谷歌在更新的分析中表示,到2022年,受到零日漏洞攻击的41个漏洞中,有17个(41%)是先前修补问题的变体。
GoogleMandiant的高级经理表示,公司未能完全修补问题的原因有很多,从不了解问题的根本原因到处理大量积压的软件漏洞,再到优先考虑立即修补而不是全面修复。脆弱性和剥削群体。
谷歌预计,针对未完全修补的漏洞的零日攻击所占比例仍将是一个重要因素。从攻击者的角度来看,发现应用程序中的漏洞很困难,因为研究人员和威胁参与者必须查看数十万或数百万行代码。通过专注于可能尚未正确修补的有前途的漏洞,攻击者可以继续攻击已知的弱点,而不是从头开始。
解决OfBiz问题的方法
在很多方面,这就是ApacheOfBiz漏洞所发生的情况。原始报告描述了两个问题:需要访问XML-RPC接口(CVE-2023-49070)的RCE缺陷,以及为不受信任的攻击者提供此访问权限的身份验证绕过问题。Apache软件基金会认为删除XML-RPC端点可以防止这两个问题被利用。
不幸的是,我们忽略了相同的身份验证绕过还会影响其他端点,而不仅仅是XML-RPC端点,一旦我们意识到这一点,第二个补丁就在几个小时内发布了。
该漏洞被Apache追踪为OFBIZ-12873,允许攻击者绕过身份验证以实现简单的服务器端请求伪造(SSRF)。
由于OfBiz是一个框架,因此是软件供应链的一部分,因此该漏洞的影响可能会很广泛。例如,流行的AtlassianJira项目和问题跟踪软件使用OfBiz库,但该漏洞能否在该平台上成功执行仍然未知,Sonicwall的McKee表示。
这将取决于每家公司构建网络的方式以及配置软件的方式,典型的基础设施不会面向互联网,它需要某种类型的VPN或内部访问。
无论如何,公司都应该采取措施,将已知使用OfBiz的任何应用程序修补到最新版本。
我们对使用ApacheOFBiz的公司的建议是遵循安全最佳实践,包括仅向需要的用户授予对系统的访问权限,确保定期更新您的软件,并确保您有能力在安全问题发生时做出响应。
