Οι ερευνητές παρακολουθούν προσεκτικά την κρίσιμη νέα ευπάθεια στο κείμενο του Apache Commons

Οι ερευνητές παρακολουθούν στενά μια κρίσιμη, πρόσφατα αποκαλυφθείσα ευπάθεια στο Apache Commons Text, η οποία δίνει στους μη επαληθευμένους εισβολείς έναν τρόπο να εκτελούν κώδικα εξ αποστάσεως σε διακομιστές που εκτελούν εφαρμογές με το επηρεαζόμενο στοιχείο.

Το ελάττωμα (CVE-2022-42889) του έχει εκχωρηθεί μια κατάταξη σοβαρότητας 9.8 από ένα πιθανό 10.0 στην κλίμακα CVSS και υπάρχει στις εκδόσεις 1.5 έως 1.9 του Apache Commons Text. Ο κώδικας απόδειξης ιδέας για την ευπάθεια είναι ήδη διαθέσιμος, αν και μέχρι στιγμής δεν έχει υπάρξει καμία ένδειξη δραστηριότητας εκμετάλλευσης.

Διαθέσιμη ενημερωμένη έκδοση

The Apache Software Foundation (ASF) κυκλοφόρησε μια ενημερωμένη έκδοση του λογισμικού (Apache Commons Text 1.10.0) στις 24 Σεπτεμβρίου αλλά εξέδωσε συμβουλές σχετικά με το ελάττωμα μόλις την περασμένη Πέμπτη. Σε αυτό, το Ίδρυμα περιέγραψε το ελάττωμα ως προερχόμενο από μη ασφαλείς προεπιλογές όταν το Apache Commons Text εκτελεί παρεμβολή μεταβλητών, η οποία βασικά είναι η διαδικασία αναζήτησης και αξιολόγηση των τιμών συμβολοσειράς στον κώδικα που περιέχουν σύμβολα κράτησης θέσης. "Ξεκινώντας με την έκδοση 1.5 και συνεχίζοντας έως την 1.9, το σύνολο των προεπιλεγμένων παρουσιών αναζήτησης περιλάμβανε παρεμβολείς που θα μπορούσαν να οδηγήσουν σε αυθαίρετη εκτέλεση κώδικα ή επαφή με απομακρυσμένους διακομιστές", ανέφερε η συμβουλευτική.

Το NIST, εν τω μεταξύ, προέτρεψε τους χρήστες να αναβαθμίσουν στο Apache Commons Text 1.10.0, το οποίο είπε:απενεργοποιεί τους προβληματικούς παρεμβολείς από προεπιλογή."

Το ASF Apache περιγράφει τη βιβλιοθήκη Commons Text ότι παρέχει προσθήκες στον χειρισμό κειμένου του τυπικού κιτ ανάπτυξης Java (JDK). Μερικοί έργα 2,588 Χρησιμοποιήστε αυτήν τη στιγμή τη βιβλιοθήκη, συμπεριλαμβανομένων ορισμένων σημαντικών, όπως το Apache Hadoop Common, το Spark Project Core, το Apache Velocity και το Apache Commons Configuration, σύμφωνα με δεδομένα στο αποθετήριο Maven Central Java.

Σε μια συμβουλευτική σήμερα, το GitHub Security Lab είπε ότι ήταν ένας από τους δοκιμαστές στυλό του που είχε ανακαλύψει το σφάλμα και το ανέφερε στην ομάδα ασφαλείας της ASF τον Μάρτιο.

Οι ερευνητές που παρακολουθούν το σφάλμα μέχρι στιγμής ήταν προσεκτικοί στην αξιολόγηση της πιθανής επίδρασής του. Ο γνωστός ερευνητής ασφαλείας Kevin Beaumont αναρωτήθηκε σε ένα tweet τη Δευτέρα εάν η ευπάθεια θα μπορούσε να οδηγήσει σε μια πιθανή κατάσταση Log4shell, αναφερόμενος στην περίφημη ευπάθεια Log4j από τα τέλη του περασμένου έτους.

«Κείμενο Apache Commons υποστηρίζει λειτουργίες που επιτρέπουν την εκτέλεση κώδικα, σε δυνητικά παρεχόμενες από τον χρήστη συμβολοσειρές κειμένου», είπε ο Beaumont. Αλλά για να το εκμεταλλευτεί, ένας εισβολέας θα πρέπει να βρει εφαρμογές Ιστού χρησιμοποιώντας αυτήν τη λειτουργία που δέχονται επίσης στοιχεία από τον χρήστη, είπε. «Δεν θα ανοίξω ακόμα το MSPaint, εκτός αν κάποιος μπορεί να βρει εφαρμογές ιστού που χρησιμοποιούν αυτή τη λειτουργία και επιτρέπουν στα στοιχεία που παρέχονται από τον χρήστη να την προσεγγίσουν», έγραψε στο Twitter.

Η απόδειξη της ιδέας επιδεινώνει τις ανησυχίες

Ερευνητές από την εταιρεία πληροφοριών απειλών GreyNoise είπαν στο Dark Reading ότι η εταιρεία γνώριζε ότι το PoC για το CVE-2022-42889 έγινε διαθέσιμο. Σύμφωνα με αυτούς, η νέα ευπάθεια είναι σχεδόν πανομοιότυπη με ένα ASF που ανακοινώθηκε τον Ιούλιο του 2022, το οποίο επίσης συσχετίστηκε με παρεμβολή μεταβλητών στο Commons Text. Αυτή η ευπάθεια (CVE-2022-33980) βρέθηκε στο Apache Commons Configuration και είχε την ίδια βαθμολογία σοβαρότητας με το νέο ελάττωμα.

«Γνωρίζουμε τον κώδικα Proof-Of-Concept για το CVE-2022-42889 που μπορεί να ενεργοποιήσει την ευπάθεια σε ένα σκόπιμα ευάλωτο και ελεγχόμενο περιβάλλον», λένε οι ερευνητές του GreyNoise. «Δεν γνωρίζουμε κανένα παράδειγμα ευρέως αναπτυσσόμενων εφαρμογών πραγματικού κόσμου που χρησιμοποιούν τη βιβλιοθήκη κειμένου Apache Commons σε μια ευάλωτη διαμόρφωση που θα επέτρεπε στους εισβολείς να εκμεταλλευτούν την ευπάθεια με δεδομένα ελεγχόμενα από τον χρήστη».

Η GreyNoise συνεχίζει να παρακολουθεί για τυχόν ενδείξεις δραστηριότητας εκμετάλλευσης «απόδειξης στην πράξη», πρόσθεσαν.

Η Jfrog Security είπε ότι παρακολουθεί το σφάλμα και μέχρι στιγμής, φαίνεται πιθανό ότι ο αντίκτυπος θα είναι λιγότερο διαδεδομένο από το Log4j. "Το νέο CVE-2022-42889 στο Apache Commons Text φαίνεται επικίνδυνο", είπε ο JFrog σε ένα tweet. "Φαίνεται ότι επηρεάζει μόνο εφαρμογές που περνούν συμβολοσειρές ελεγχόμενες από τους εισβολείς στο-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()", ανέφερε.

Ο προμηθευτής ασφάλειας είπε ότι τα άτομα που χρησιμοποιούν Java έκδοση 15 και νεότερη θα πρέπει να είναι ασφαλή από την εκτέλεση κώδικα, καθώς η παρεμβολή σεναρίων δεν θα λειτουργήσει. Αλλά άλλοι πιθανοί φορείς για την εκμετάλλευση του ελαττώματος —μέσω DNS και URL— θα εξακολουθούσαν να λειτουργούν, σημείωσε.