يتتبع الباحثون عن كثب ثغرة أمنية حرجة تم الكشف عنها حديثًا في نص Apache Commons يمنح المهاجمين غير المصادق عليهم طريقة لتنفيذ التعليمات البرمجية عن بُعد على الخوادم التي تقوم بتشغيل التطبيقات مع المكون المتأثر.
الخلل (CVE-2022-42889) تم تعيين تصنيف خطورة 9.8 من 10.0 محتملة على مقياس CVSS وهو موجود في الإصدارات 1.5 إلى 1.9 من نص Apache Commons. يتوفر بالفعل رمز إثبات المفهوم للثغرة الأمنية ، على الرغم من عدم وجود أي علامة على نشاط الاستغلال حتى الآن.
نسخة محدثة متوفرة
مؤسسة برامج أباتشي (ASF) أصدر نسخة محدثة من البرنامج (Apache Commons Text 1.10.0) في 24 سبتمبر لكنه أصدر الاستشارية بشأن الخلل الخميس الماضي فقط. في ذلك ، وصفت المؤسسة الخلل بأنه ناجم عن افتراضات غير آمنة عندما يقوم نص Apache Commons باستيفاء متغير ، وهو في الأساس عملية البحث عن و تقييم قيم السلسلة في التعليمات البرمجية التي تحتوي على عناصر نائبة. قال الاستشاري: "بدءًا من الإصدار 1.5 والاستمرار حتى 1.9 ، تضمنت مجموعة مثيلات البحث الافتراضية أدوات استقراء قد تؤدي إلى تنفيذ تعليمات برمجية عشوائية أو الاتصال بالخوادم البعيدة".
وفي الوقت نفسه ، حثت NIST المستخدمين على الترقية إلى Apache Commons Text 1.10.0 ، والتي قالت: "يعطل المحرفين الإشكاليين بشكل افتراضي."
يصف ASF Apache مكتبة نصوص المشاع على أنها توفر إضافات إلى معالجة نصوص Java Development Kit (JDK) القياسية. بعض مشاريع 2,588 تستخدم المكتبة حاليًا ، بما في ذلك بعض المكتبات الرئيسية مثل Apache Hadoop Common و Spark Project Core و Apache Velocity و Apache Commons Configuration ، وفقًا للبيانات الموجودة في مستودع Maven Central Java.
في استشاري اليوم ، قال GitHub Security Lab إنه كان كذلك أحد أجهزة اختبار القلم الذي اكتشف الخطأ وأبلغ فريق الأمن في ASF في مارس.
كان الباحثون الذين يتتبعون الخطأ حتى الآن حذرين في تقييمهم لتأثيره المحتمل. تساءل الباحث الأمني البارز كيفين بومونت في تغريدة يوم الإثنين عما إذا كانت الثغرة الأمنية قد تؤدي إلى وضع Log4shell محتمل ، في إشارة إلى ثغرة Log4j سيئة السمعة من أواخر العام الماضي.
“نص أباتشي كومنز يدعم الوظائف التي تسمح بتنفيذ التعليمات البرمجية، في سلاسل نصية يُحتمل أن يوفرها المستخدم ، "قال بومونت. ولكن من أجل استغلالها ، سيحتاج المهاجم إلى العثور على تطبيقات الويب باستخدام هذه الوظيفة التي تقبل أيضًا مدخلات المستخدم ، على حد قوله. "لن أفتح MSPaint بعد ، ما لم يتمكن أي شخص من العثور على تطبيقات الويب التي تستخدم هذه الوظيفة وتسمح بإدخال المدخلات التي يوفرها المستخدم للوصول إليها ".
إثبات المفهوم يفاقم المخاوف
قال باحثون من شركة استخبارات التهديدات GreyNoise لـ Dark Reading إن الشركة كانت على علم بإمكانية توفر PoC لـ CVE-2022-42889. وفقًا لهم ، فإن الثغرة الأمنية الجديدة مطابقة تقريبًا لواحد من ASF تم الإعلان عنه في يوليو 2022 والذي كان مرتبطًا أيضًا بالاستيفاء المتغير في نص العموم. أن الضعف (CVE-2022-33980) في تكوين Apache Commons وكان له نفس تصنيف الخطورة مثل الخلل الجديد.
يقول باحثو GreyNoise: "نحن على دراية برمز إثبات المفهوم لـ CVE-2022-42889 الذي يمكن أن يؤدي إلى الثغرة الأمنية في بيئة ضعيفة وخاضعة للرقابة عن عمد". "لسنا على علم بأي أمثلة لتطبيقات العالم الحقيقي المنتشرة على نطاق واسع والتي تستخدم مكتبة نصوص Apache Commons في تكوين ضعيف يسمح للمهاجمين باستغلال الثغرة الأمنية باستخدام البيانات التي يتحكم فيها المستخدم."
وأضافوا أن GreyNoise تواصل المراقبة بحثًا عن أي دليل على نشاط استغلال "إثبات في الممارسة".
قالت Jfrog Security إنها تراقب الخطأ وحتى الآن ، يبدو من المحتمل أن يكون التأثير سيكون أقل انتشارًا من Log4j. قال JFrog في تغريدة: "CVE-2022-42889 الجديدة في نص Apache Commons تبدو خطيرة". "يبدو أنه يؤثر فقط على التطبيقات التي تمرر سلاسل يتحكم فيها المهاجم إلى StringLookupFactory.INSTANCE.interpolatorStringLookup (). lookup () ،" قالها.
قال بائع الأمن إن الأشخاص الذين يستخدمون Java الإصدار 15 والإصدارات الأحدث يجب أن يكونوا في مأمن من تنفيذ التعليمات البرمجية لأن الاستيفاء النصي لن يعمل. لكنها أشارت إلى أن العوامل الأخرى المحتملة لاستغلال الخلل - عبر DNS وعنوان URL - ستظل تعمل.
