Teadlased jälgivad hoolikalt Apache Commons Text kriitilist, äsja avalikustatud haavatavust, mis annab autentimata ründajatele võimaluse käivitada koodi eemalt serverites, mis töötavad mõjutatud komponendiga rakendusi.
Viga (CVE-2022-42889) on CVSS-i skaalal määratud raskusastmega 9.8 võimalikust 10.0-st ja see on olemas Apache Commons Text versioonides 1.5–1.9. Haavatavuse kontseptsiooni tõendav kood on juba saadaval, kuigi siiani pole olnud märke ärakasutamisest.
Värskendatud versioon on saadaval
Apache Software Foundation (ASF) andis välja uuendatud versiooni tarkvara (Apache Commons Text 1.10.0) 24. septembril, kuid andis välja an nõuanne vea kohta alles eelmisel neljapäeval. Selles kirjeldas sihtasutus, et viga tuleneb ebaturvalistest vaikeseadetest, kui Apache Commons Text teostab muutuva interpolatsiooni, mis on põhimõtteliselt üles otsimise ja stringi väärtuste hindamine koodis mis sisaldavad kohahoidjaid. "Alates versioonist 1.5 ja jätkates kuni versioonini 1.9, hõlmas vaikeotsingu eksemplaride komplekt interpolaatoreid, mis võivad põhjustada suvalise koodikäivituse või kontakti kaugserveritega," öeldakse nõuandes.
Vahepeal kutsus NIST kasutajaid üles uuendama versioonile Apache Commons Text 1.10.0, mis ütles: "keelab probleemsed interpolaatorid vaikimisi."
ASF Apache kirjeldab Commonsi tekstiteeki kui standardse Java arenduskomplekti (JDK) tekstikäsitluse täiendusi. Mõned 2,588 projektid Maven Central Java hoidlas olevate andmete kohaselt kasutavad nad praegu teeki, sealhulgas mõningaid suuremaid, nagu Apache Hadoop Common, Spark Project Core, Apache Velocity ja Apache Commons Configuration.
Tänases nõuandes ütles GitHub Security Lab, et see oli nii üks selle pliiatsitestijatest mis oli vea avastanud ja teatas sellest märtsis ASF-i turvameeskonnale.
Seni viga jälginud teadlased on selle võimaliku mõju hindamisel olnud ettevaatlikud. Tuntud turbeuurija Kevin Beaumont mõtles esmaspäevases säutsus, kas haavatavus võib kaasa tuua võimaliku Log4shelli olukorra, viidates kurikuulsale Log4j haavatavusele eelmise aasta lõpust.
"Apache Commonsi tekst toetab funktsioone, mis võimaldavad koodi täitmist, potentsiaalselt kasutaja sisestatud tekstistringides, ”ütles Beaumont. Kuid selle ärakasutamiseks peaks ründaja leidma seda funktsiooni kasutavad veebirakendused, mis aktsepteerivad ka kasutaja sisendit, ütles ta. "Ma ei ava veel MSPainti, kui keegi ei leia veebirakendusi mis kasutavad seda funktsiooni ja võimaldavad kasutaja sisestatud sisendil selleni jõuda," säutsus ta.
Kontseptsiooni tõestamine süvendab muret
Ohu luurefirma GreyNoise teadlased ütlesid Dark Readingile, et ettevõte oli teadlik CVE-2022-42889 PoC kättesaadavusest. Nende sõnul on uus haavatavus peaaegu identne ühe 2022. aasta juulis välja kuulutatud ASF-iga, mis oli samuti seotud muutuva interpolatsiooniga Commons Textis. See haavatavus (CVE-2022-33980) leiti rakenduses Apache Commons Configuration ja sellel oli sama raskusaste kui uuel veal.
"Oleme teadlikud Proof-Of-Concept koodist CVE-2022-42889 jaoks, mis võib tahtlikult haavatavas ja kontrollitud keskkonnas haavatavuse vallandada," väidavad GreyNoise'i teadlased. "Me ei tea ühtegi näidet laialdaselt juurutatud reaalmaailma rakendustest, mis kasutaksid haavatavas konfiguratsioonis Apache Commonsi tekstiteeki, mis võimaldaks ründajatel kasutaja kontrollitavate andmetega haavatavust ära kasutada."
Nad lisasid, et GreyNoise jälgib jätkuvalt tõendeid praktikas tõestatud ärakasutamise kohta.
Jfrog Security ütles, et jälgib viga ja seni on see mõju tõenäoline on vähem levinud kui Log4j. "Uus CVE-2022-42889 Apache Commonsi tekstis tundub ohtlik," ütles JFrog säutsus. "Tundub, et see mõjutab ainult neid rakendusi, mis edastavad ründaja juhitud stringe stringile StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()," öeldakse.
Turvamüüja ütles, et Java versiooni 15 ja uuemat versiooni kasutavad inimesed peaksid olema kaitstud koodi täitmise eest, kuna skriptide interpoleerimine ei tööta. Kuid teised potentsiaalsed vektorid vea ärakasutamiseks - DNS-i ja URL-i kaudu - töötavad endiselt, märkis ta.
