Forskere følger nøje en kritisk, nyligt afsløret sårbarhed i Apache Commons Text, der giver uautentificerede angribere en måde at udføre kode eksternt på servere, der kører applikationer med den berørte komponent.
Fejlen (CVE-2022-42889) er blevet tildelt en sværhedsgrad på 9.8 ud af en mulig 10.0 på CVSS-skalaen og findes i version 1.5 til 1.9 af Apache Commons Text. Proof-of-concept-kode for sårbarheden er allerede tilgængelig, selvom der hidtil ikke har været tegn på udnyttelsesaktivitet.
Opdateret version tilgængelig
Apache Software Foundation (ASF) udgivet en opdateret version af softwaren (Apache Commons Text 1.10.0) den 24. september, men udstedte en rådgivning om fejlen kun sidste torsdag. I den beskrev fonden fejlen som følge af usikre standardindstillinger, når Apache Commons Text udfører variabel interpolation, hvilket dybest set er processen med at slå op og evaluering af strengværdier i kode der indeholder pladsholdere. "Startende med version 1.5 og fortsætter til 1.9 inkluderede sættet af standardopslagsinstanser interpolatorer, der kunne resultere i vilkårlig kodeudførelse eller kontakt med fjernservere," sagde rådgiveren.
NIST opfordrede i mellemtiden brugerne til at opgradere til Apache Commons Text 1.10.0, som den sagde, "deaktiverer de problematiske interpolatorer som standard."
ASF Apache beskriver Commons Text-biblioteket som tilføjelser til standard Java Development Kit's (JDK) teksthåndtering. Nogle 2,588 projekter bruger i øjeblikket biblioteket, inklusive nogle større, såsom Apache Hadoop Common, Spark Project Core, Apache Velocity og Apache Commons Configuration, ifølge data i Maven Central Java-lageret.
I en rådgivning i dag sagde GitHub Security Lab, at det var det en af dens pennetestere der havde opdaget fejlen og rapporteret den til sikkerhedsteamet hos ASF i marts.
Forskere, der har sporet fejlen indtil videre, har været forsigtige i deres vurdering af dens potentielle virkning. Den bemærkede sikkerhedsforsker Kevin Beaumont spekulerede i et tweet på mandag, om sårbarheden kunne resultere i en potentiel Log4shell-situation, med henvisning til den berygtede Log4j-sårbarhed fra slutningen af sidste år.
"Apache Commons-tekst understøtter funktioner, der tillader kodeudførelse, i potentielt brugerleverede tekststrenge,” sagde Beaumont. Men for at udnytte det, skal en angriber finde webapplikationer, der bruger denne funktion, som også accepterer brugerinput, sagde han. "Jeg vil ikke åbne MSPaint endnu, medmindre nogen kan finde webapps der bruger denne funktion og tillader brugerleveret input at nå den, "tvitrede han.
Proof-of-Concept forværrer bekymringer
Forskere fra trusselsefterretningsfirmaet GreyNoise fortalte Dark Reading, at virksomheden var klar over, at PoC til CVE-2022-42889 blev tilgængelig. Ifølge dem er den nye sårbarhed næsten identisk med en ASF annonceret i juli 2022, som også var forbundet med variabel interpolation i Commons Text. Den sårbarhed (CVE-2022-33980) blev fundet i Apache Commons-konfiguration og havde samme alvorlighedsgrad som den nye fejl.
"Vi er opmærksomme på Proof-Of-Concept-kode for CVE-2022-42889, der kan udløse sårbarheden i et bevidst sårbart og kontrolleret miljø," siger GreyNoise-forskere. "Vi er ikke bekendt med nogen eksempler på vidt udbredte applikationer i den virkelige verden, der bruger Apache Commons Text-biblioteket i en sårbar konfiguration, der ville tillade angribere at udnytte sårbarheden med brugerkontrollerede data."
GreyNoise fortsætter med at overvåge for ethvert bevis på "bevis-i-praksis" udnyttelsesaktivitet, tilføjede de.
Jfrog Security sagde, at det overvåger fejlen, og indtil videre ser det ud til, at virkningen vil være mindre udbredt end Log4j. "Ny CVE-2022-42889 i Apache Commons Text ser farlig ud," sagde JFrog i et tweet. "Ser ud til kun at påvirke apps, der sender angriberkontrollerede strenge til-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()," stod der.
Sikkerhedsleverandøren sagde, at folk, der bruger Java version 15 og nyere, burde være sikret mod udførelse af kode, da scriptinterpolation ikke virker. Men andre potentielle vektorer til at udnytte fejlen - via DNS og URL - ville stadig fungere, bemærkede det.
