Forscher verfolgen eine kritische, neu aufgedeckte Schwachstelle in Apache Commons Text genau, die es nicht authentifizierten Angreifern ermöglicht, Code remote auf Servern auszuführen, auf denen Anwendungen mit der betroffenen Komponente ausgeführt werden.
Der Fehler (CVE-2022-42889) wurde auf der CVSS-Skala ein Schweregrad von 9.8 von 10.0 zugewiesen und existiert in den Versionen 1.5 bis 1.9 von Apache Commons Text. Proof-of-Concept-Code für die Schwachstelle ist bereits verfügbar, obwohl es bisher keine Anzeichen für Exploit-Aktivitäten gab.
Aktualisierte Version verfügbar
Die Apache Software Foundation (ASF) eine aktualisierte Version veröffentlicht der Software (Apache Commons Text 1.10.0) am 24. September, aber herausgegeben Beratung zum Fehler erst letzten donnerstag. Darin beschrieb die Foundation den Fehler als auf unsichere Standardeinstellungen zurückzuführen, wenn Apache Commons Text eine Variableninterpolation durchführt, was im Grunde der Prozess des Nachschlagens und Nachschlagens ist Auswerten von Zeichenfolgenwerten im Code die Platzhalter enthalten. „Beginnend mit Version 1.5 und weiter bis 1.9 enthielt der Satz von Standard-Lookup-Instanzen Interpolatoren, die zur Ausführung willkürlichen Codes oder zum Kontakt mit Remote-Servern führen könnten“, heißt es in dem Advisory.
NIST forderte unterdessen die Benutzer auf, auf Apache Commons Text 1.10.0 zu aktualisieren, wo es hieß: „deaktiviert die problematischen Interpolatoren standardmäßig."
Der ASF-Apache beschreibt die Commons Text-Bibliothek als Ergänzung zur standardmäßigen Textverarbeitung des Java Development Kit (JDK). Etwas 2,588 Projekte verwenden derzeit die Bibliothek, einschließlich einiger wichtiger wie Apache Hadoop Common, Spark Project Core, Apache Velocity und Apache Commons Configuration, gemäß den Daten im Maven Central Java-Repository.
In einem heutigen Advisory sagte GitHub Security Lab, dass dies der Fall sei einer seiner Pentester die den Fehler entdeckt und im März dem Sicherheitsteam von ASF gemeldet hatten.
Forscher, die den Fehler bisher verfolgt haben, waren bei ihrer Einschätzung seiner potenziellen Auswirkungen vorsichtig. Der bekannte Sicherheitsforscher Kevin Beaumont fragte sich am Montag in einem Tweet, ob die Schwachstelle zu einer möglichen Log4shell-Situation führen könnte, und bezog sich dabei auf die berüchtigte Log4j-Schwachstelle von Ende letzten Jahres.
„Apache-Commons-Text unterstützt Funktionen, die die Ausführung von Code ermöglichen, in möglicherweise vom Benutzer bereitgestellten Textzeichenfolgen“, sagte Beaumont. Aber um sie auszunutzen, müsste ein Angreifer Webanwendungen finden, die diese Funktion verwenden, die auch Benutzereingaben akzeptieren, sagte er. „Ich werde MSPaint noch nicht öffnen, es sei denn, jemand kann Webapps finden die diese Funktion verwenden und Benutzereingaben ermöglichen, um sie zu erreichen“, twitterte er.
Proof-of-Concept verschärft Bedenken
Forscher des Threat-Intelligence-Unternehmens GreyNoise teilten Dark Reading mit, das Unternehmen sei sich bewusst, dass PoC für CVE-2022-42889 verfügbar wird. Ihnen zufolge ist die neue Schwachstelle nahezu identisch mit einer im Juli 2022 angekündigten ASF, die ebenfalls mit variabler Interpolation in Commons Text in Verbindung gebracht wurde. Diese Schwachstelle (CVE-2022-33980) wurde in Apache Commons Configuration gefunden und hatte die gleiche Schweregradbewertung wie der neue Fehler.
„Uns ist der Proof-of-Concept-Code für CVE-2022-42889 bekannt, der die Schwachstelle in einer absichtlich anfälligen und kontrollierten Umgebung auslösen kann“, sagen die GreyNoise-Forscher. „Uns sind keine Beispiele für weit verbreitete reale Anwendungen bekannt, die die Apache Commons Text-Bibliothek in einer anfälligen Konfiguration verwenden, die es Angreifern ermöglichen würde, die Schwachstelle mit benutzergesteuerten Daten auszunutzen.“
GreyNoise überwacht weiterhin auf Beweise für Exploit-Aktivitäten, die „Proof-in-Practice“ sind, fügten sie hinzu.
Jfrog Security sagte, es überwache den Fehler und bisher scheint es wahrscheinlich, dass die Auswirkungen wird weniger verbreitet sein als Log4j. „Das neue CVE-2022-42889 im Apache Commons Text sieht gefährlich aus“, sagte JFrog in einem Tweet. „Scheint nur Apps zu betreffen, die vom Angreifer kontrollierte Zeichenfolgen an-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup() übergeben“, hieß es.
Der Sicherheitsanbieter sagte, dass Benutzer, die Java Version 15 und höher verwenden, vor der Codeausführung geschützt sein sollten, da die Skriptinterpolation nicht funktioniert. Aber andere potenzielle Vektoren zur Ausnutzung des Fehlers – über DNS und URL – würden immer noch funktionieren, stellte es fest.
