গবেষকরা ঘনিষ্ঠভাবে Apache Commons Text-এ একটি সমালোচনামূলক, সদ্য প্রকাশ করা দুর্বলতাকে পর্যবেক্ষণ করছেন যা অননুমোদিত আক্রমণকারীদের প্রভাবিত উপাদানের সাথে অ্যাপ্লিকেশন চলমান সার্ভারগুলিতে দূরবর্তীভাবে কোড চালানোর একটি উপায় দেয়।
ত্রুটি (জন্য CVE-2022-42889)কে CVSS স্কেলে সম্ভাব্য 9.8-এর মধ্যে 10.0-এর তীব্রতা র্যাঙ্কিং দেওয়া হয়েছে এবং Apache Commons Text-এর 1.5 থেকে 1.9 সংস্করণে বিদ্যমান। দুর্বলতার জন্য প্রুফ-অফ-কনসেপ্ট কোড ইতিমধ্যেই উপলব্ধ, যদিও এখনও পর্যন্ত শোষণ কার্যকলাপের কোন চিহ্ন পাওয়া যায়নি।
আপডেট সংস্করণ উপলব্ধ
অ্যাপাচি সফটওয়্যার ফাউন্ডেশন (এএসএফ) একটি আপডেট সংস্করণ প্রকাশ করেছে সফ্টওয়্যারটির (Apache Commons Text 1.10.0) 24 সেপ্টেম্বর কিন্তু একটি জারি করেছে ত্রুটি সম্পর্কে পরামর্শ মাত্র গত বৃহস্পতিবার। এতে, ফাউন্ডেশন ত্রুটিটিকে অনিরাপদ ডিফল্ট থেকে উদ্ভূত হিসাবে বর্ণনা করেছে যখন Apache Commons Text পরিবর্তনশীল ইন্টারপোলেশন সম্পাদন করে, যা মূলত অনুসন্ধানের প্রক্রিয়া এবং কোডে স্ট্রিং মান মূল্যায়ন করা যে স্থানধারক ধারণ করে। "সংস্করণ 1.5 থেকে শুরু করে এবং 1.9 পর্যন্ত চলতে থাকে, ডিফল্ট লুকআপ দৃষ্টান্তের সেটে ইন্টারপোলেটর অন্তর্ভুক্ত ছিল যার ফলে নির্বিচারে কোড এক্সিকিউশন বা দূরবর্তী সার্ভারের সাথে যোগাযোগ হতে পারে," পরামর্শে বলা হয়েছে।
NIST, ইতিমধ্যে, ব্যবহারকারীদের Apache Commons Text 1.10.0-এ আপগ্রেড করার আহ্বান জানিয়েছে, যা বলেছে, “সমস্যাযুক্ত ইন্টারপোলেটর নিষ্ক্রিয় করে গতানুগতিক."
ASF Apache কমন্স টেক্সট লাইব্রেরীকে স্ট্যান্ডার্ড জাভা ডেভেলপমেন্ট কিট (JDK) টেক্সট হ্যান্ডলিংয়ে যোগ করার জন্য বর্ণনা করে। কিছু 2,588 প্রকল্পগুলি ম্যাভেন সেন্ট্রাল জাভা রিপোজিটরির তথ্য অনুসারে, বর্তমানে লাইব্রেরি ব্যবহার করে, যার মধ্যে কিছু প্রধান যেমন অ্যাপাচি হ্যাডুপ কমন, স্পার্ক প্রজেক্ট কোর, অ্যাপাচি ভেলোসিটি এবং অ্যাপাচি কমন্স কনফিগারেশন রয়েছে।
আজ একটি পরামর্শে, গিটহাব সিকিউরিটি ল্যাব বলেছে যে এটি ছিল এর কলম পরীক্ষকদের একজন যে বাগটি আবিষ্কার করেছিল এবং মার্চ মাসে ASF-এর নিরাপত্তা দলকে রিপোর্ট করেছিল৷
এ পর্যন্ত বাগটি ট্র্যাক করা গবেষকরা তাদের সম্ভাব্য প্রভাবের মূল্যায়নে সতর্ক ছিলেন। বিশিষ্ট নিরাপত্তা গবেষক কেভিন বিউমন্ট সোমবার একটি টুইট বার্তায় বিস্ময় প্রকাশ করেছেন যে দুর্বলতার ফলে একটি সম্ভাব্য Log4shell পরিস্থিতি হতে পারে, গত বছরের শেষের দিকে কুখ্যাত Log4j দুর্বলতার কথা উল্লেখ করে।
"অ্যাপাচি কমন্স টেক্সট ফাংশন সমর্থন করে যা কোড নির্বাহের অনুমতি দেয়, সম্ভাব্য ব্যবহারকারীর সরবরাহকৃত পাঠ্য স্ট্রিংগুলিতে,” বিউমন্ট বলেছেন। কিন্তু এটিকে কাজে লাগানোর জন্য, একজন আক্রমণকারীকে এই ফাংশনটি ব্যবহার করে এমন ওয়েব অ্যাপ্লিকেশন খুঁজে বের করতে হবে যা ব্যবহারকারীর ইনপুটও গ্রহণ করে, তিনি বলেছিলেন। "আমি এখনও MSPaint খুলব না, যদি না কেউ ওয়েবঅ্যাপস খুঁজে পায় যেগুলি এই ফাংশনটি ব্যবহার করে এবং ব্যবহারকারীর সরবরাহকৃত ইনপুটকে এটিতে পৌঁছানোর অনুমতি দেয়,” তিনি টুইট করেছেন।
প্রুফ-অফ-কনসেপ্ট উদ্বেগকে বাড়িয়ে তোলে
হুমকি গোয়েন্দা সংস্থা GreyNoise-এর গবেষকরা ডার্ক রিডিংকে জানিয়েছেন CVE-2022-42889 উপলব্ধ হওয়ার জন্য কোম্পানি PoC সম্পর্কে সচেতন ছিল। তাদের মতে, নতুন দুর্বলতা 2022 সালের জুলাই মাসে ঘোষিত একটি ASF-এর সাথে প্রায় একই রকম যা কমন্স টেক্সটে পরিবর্তনশীল ইন্টারপোলেশনের সাথেও যুক্ত ছিল। সেই দুর্বলতা (জন্য CVE-2022-33980) অ্যাপাচি কমন্স কনফিগারেশনে পাওয়া গেছে এবং নতুন ত্রুটির মতো একই তীব্রতা রেটিং ছিল।
"আমরা CVE-2022-42889-এর প্রুফ-অফ-কনসেপ্ট কোড সম্পর্কে সচেতন যেটি ইচ্ছাকৃতভাবে দুর্বল এবং নিয়ন্ত্রিত পরিবেশে দুর্বলতাকে ট্রিগার করতে পারে," গ্রেনোইস গবেষকরা বলেছেন। "আমরা একটি দুর্বল কনফিগারেশনে অ্যাপাচি কমন্স টেক্সট লাইব্রেরি ব্যবহার করে ব্যাপকভাবে মোতায়েন করা বাস্তব-বিশ্বের অ্যাপ্লিকেশনগুলির কোনও উদাহরণ সম্পর্কে সচেতন নই যা আক্রমণকারীদের ব্যবহারকারী-নিয়ন্ত্রিত ডেটার সাথে দুর্বলতাকে কাজে লাগাতে দেয়।"
তারা যোগ করেছে যে "প্রুফ-ইন-প্র্যাকটিস" শোষণ কার্যকলাপের যে কোনও প্রমাণের জন্য গ্রেনোইস নিরীক্ষণ চালিয়ে যাচ্ছে।
Jfrog সিকিউরিটি বলেছে যে এটি বাগটি পর্যবেক্ষণ করছে এবং এখনও পর্যন্ত, এটি প্রভাবের সম্ভাবনা রয়েছে বলে মনে হচ্ছে Log4j এর চেয়ে কম বিস্তৃত হবে. "অ্যাপাচি কমন্স টেক্সটে নতুন CVE-2022-42889 বিপজ্জনক দেখাচ্ছে," জেফ্রগ একটি টুইটে বলেছেন। "শুধুমাত্র সেই অ্যাপ্লিকেশানগুলিকে প্রভাবিত করে যা আক্রমণকারী-নিয়ন্ত্রিত স্ট্রিংগুলি-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()-এ পাস করে," এটি বলে৷
নিরাপত্তা বিক্রেতা বলেছেন যে লোকেরা জাভা সংস্করণ 15 এবং তার পরে ব্যবহার করছে তাদের কোড এক্সিকিউশন থেকে নিরাপদ হওয়া উচিত কারণ স্ক্রিপ্ট ইন্টারপোলেশন কাজ করবে না। তবে ত্রুটিটি শোষণের জন্য অন্যান্য সম্ভাব্য ভেক্টর - DNS এবং URL এর মাধ্যমে - এখনও কাজ করবে, এটি উল্লেখ করেছে।
