Los investigadores están siguiendo de cerca una vulnerabilidad crítica recientemente revelada en Apache Commons Text que brinda a los atacantes no autenticados una forma de ejecutar código de forma remota en servidores que ejecutan aplicaciones con el componente afectado.
La falla (CVE-2022-42889) se le ha asignado una clasificación de gravedad de 9.8 de un posible 10.0 en la escala CVSS y existe en las versiones 1.5 a 1.9 de Apache Commons Text. El código de prueba de concepto para la vulnerabilidad ya está disponible, aunque hasta ahora no ha habido señales de actividad de explotación.
Versión actualizada disponible
La Fundación de Software Apache (ASF) lanzó una versión actualizada del software (Apache Commons Text 1.10.0) el 24 de septiembre pero emitió un asesoramiento sobre la falla recién el jueves pasado. En él, la Fundación describió la falla como derivada de valores predeterminados inseguros cuando Apache Commons Text realiza una interpolación de variables, que básicamente es el proceso de buscar y evaluar valores de cadena en el código que contienen marcadores de posición. “Comenzando con la versión 1.5 y continuando hasta la 1.9, el conjunto de instancias de búsqueda predeterminadas incluía interpoladores que podrían resultar en la ejecución de código arbitrario o el contacto con servidores remotos”, dijo el aviso.
Mientras tanto, NIST instó a los usuarios a actualizar a Apache Commons Text 1.10.0, que dijo: “desactiva los interpoladores problemáticos por defecto."
El ASF Apache describe la biblioteca Commons Text como complemento al manejo de texto estándar del Java Development Kit (JDK). Alguno Proyectos 2,588 actualmente usa la biblioteca, incluidas algunas importantes como Apache Hadoop Common, Spark Project Core, Apache Velocity y Apache Commons Configuration, según los datos del repositorio de Maven Central Java.
En un aviso de hoy, GitHub Security Lab dijo que era uno de sus probadores de pluma que había descubierto el error y lo informó al equipo de seguridad de ASF en marzo.
Los investigadores que rastrean el error hasta ahora han sido cautelosos en su evaluación de su impacto potencial. El destacado investigador de seguridad Kevin Beaumont se preguntó en un tuit el lunes si la vulnerabilidad podría resultar en una situación potencial de Log4shell, refiriéndose a la infame vulnerabilidad Log4j de fines del año pasado.
“Texto común de Apache admite funciones que permiten la ejecución de código, en cadenas de texto potencialmente proporcionadas por el usuario”, dijo Beaumont. Pero para explotarlo, un atacante necesitaría encontrar aplicaciones web que usen esta función y que también acepten la entrada del usuario, dijo. "Todavía no abriré MSPaint, a menos que cualquiera pueda encontrar aplicaciones web que usan esta función y permiten que la entrada proporcionada por el usuario llegue a ella”, tuiteó.
La prueba de concepto exacerba las preocupaciones
Los investigadores de la firma de inteligencia de amenazas GreyNoise le dijeron a Dark Reading que la compañía estaba al tanto de que PoC para CVE-2022-42889 estaba disponible. Según ellos, la nueva vulnerabilidad es casi idéntica a una ASF anunciada en julio de 2022 que también estaba asociada con la interpolación variable en Commons Text. Esa vulnerabilidad (CVE-2022-33980) se encontró en la configuración de Apache Commons y tenía la misma calificación de gravedad que la nueva falla.
“Somos conscientes del código de prueba de concepto para CVE-2022-42889 que puede desencadenar la vulnerabilidad en un entorno intencionalmente vulnerable y controlado”, dicen los investigadores de GreyNoise. “No tenemos conocimiento de ningún ejemplo de aplicaciones del mundo real ampliamente implementadas que utilicen la biblioteca Apache Commons Text en una configuración vulnerable que permitiría a los atacantes explotar la vulnerabilidad con datos controlados por el usuario”.
GreyNoise continúa monitoreando cualquier evidencia de actividad de explotación de "prueba en la práctica", agregaron.
Jfrog Security dijo que está monitoreando el error y, hasta ahora, parece probable que el impacto estará menos extendido que Log4j. “El nuevo CVE-2022-42889 en Apache Commons Text parece peligroso”, dijo JFrog en un tweet. “Parece que solo afecta a las aplicaciones que pasan cadenas controladas por atacantes a-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()”, dijo.
El proveedor de seguridad dijo que las personas que usan Java versión 15 y posteriores deberían estar a salvo de la ejecución de código, ya que la interpolación de secuencias de comandos no funcionará. Pero otros vectores potenciales para explotar la falla, a través de DNS y URL, aún funcionarían, señaló.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
