محققان از نزدیک یک آسیبپذیری جدید فاش شده در Apache Commons Text را دنبال میکنند که به مهاجمان احراز هویت نشده راهی برای اجرای کد از راه دور بر روی سرورهایی که برنامههای کاربردی با مؤلفه آسیبدیده را اجرا میکنند، میدهد.
عیب (CVE-2022-42889) دارای رتبه شدت 9.8 از 10.0 ممکن در مقیاس CVSS است و در نسخه های 1.5 تا 1.9 متن Apache Commons وجود دارد. کد اثبات مفهومی برای این آسیبپذیری در حال حاضر در دسترس است، اگرچه تاکنون هیچ نشانهای از فعالیت اکسپلویت وجود نداشته است.
نسخه به روز شده موجود است
بنیاد نرم افزار آپاچی (ASF) نسخه به روز شده را منتشر کرد نرم افزار (Apache Commons Text 1.10.0) در 24 سپتامبر، اما مشاوره در مورد نقص فقط پنجشنبه گذشته در آن، بنیاد این نقص را ناشی از پیشفرضهای ناامن زمانی که Apache Commons Text درون یابی متغیر را انجام میدهد، توصیف کرد که اساساً فرآیند جستجو و جستجو است. ارزیابی مقادیر رشته در کد که حاوی متغیرهایی هستند. این مشاوره میگوید: «از نسخه 1.5 شروع و تا 1.9 ادامه یافت، مجموعه نمونههای جستجوی پیشفرض شامل interpolators بود که میتوانست منجر به اجرای کد دلخواه یا تماس با سرورهای راه دور شود».
در همین حال، NIST از کاربران خواست تا به Apache Commons Text 1.10.0 ارتقاء دهند، که گفت:interpolators مشکل ساز را غیرفعال می کند به صورت پیش فرض."
ASF Apache کتابخانه متنی Commons را بهعنوان افزودنیهایی برای مدیریت متن استاندارد Java Development Kit (JDK) توصیف میکند. مقداری پروژه 2,588 طبق دادههای موجود در مخزن جاوا مرکزی Maven، در حال حاضر از این کتابخانه استفاده کنید، از جمله برخی از کتابخانههای اصلی مانند Apache Hadoop Common، Spark Project Core، Apache Velocity و Apache Commons Configuration.
آزمایشگاه امنیتی GitHub در مشاوره امروز گفت که اینطور است یکی از تسترهای قلم آن که این اشکال را کشف کرده بود و در ماه مارس به تیم امنیتی ASF گزارش داده بود.
محققانی که تاکنون این اشکال را ردیابی کردهاند در ارزیابی تأثیر بالقوه آن محتاط بودهاند. کوین بومونت، محقق برجسته امنیتی، روز دوشنبه در توییتی با اشاره به آسیبپذیری بدنام Log4j از اواخر سال گذشته، پرسید که آیا این آسیبپذیری میتواند منجر به وضعیت بالقوه Log4shell شود.
«متن Apache Commons از توابعی پشتیبانی می کند که امکان اجرای کد را فراهم می کندبومونت گفت، در رشته های متنی بالقوه ارائه شده توسط کاربر. او گفت، اما برای بهره برداری از آن، یک مهاجم باید برنامه های کاربردی وب را با استفاده از این تابع پیدا کند که ورودی کاربر را نیز می پذیرد. "من هنوز MSPaint را باز نمی کنم، مگر اینکه کسی بتواند برنامه های وب را پیدا کند که از این تابع استفاده می کنند و به ورودی های ارائه شده کاربر اجازه می دهند به آن دسترسی پیدا کنند.»
اثبات مفهوم نگرانی ها را تشدید می کند
محققان شرکت اطلاعاتی تهدید GreyNoise به Dark Reading گفتند که این شرکت از در دسترس بودن PoC برای CVE-2022-42889 آگاه است. به گفته آنها، آسیب پذیری جدید تقریباً مشابه یک ASF است که در ژوئیه 2022 اعلام شد و همچنین با درون یابی متغیر در Commons Text مرتبط بود. آن آسیب پذیری (CVE-2022-33980) در پیکربندی Apache Commons یافت شد و دارای همان درجه شدت نقص جدید بود.
محققان GreyNoise میگویند: «ما از کد Proof-Of-Concept برای CVE-2022-42889 آگاه هستیم که میتواند آسیبپذیری را در محیطی عمداً آسیبپذیر و کنترلشده ایجاد کند». ما از هیچ نمونه ای از برنامه های کاربردی دنیای واقعی که به طور گسترده مستقر شده اند با استفاده از کتابخانه متنی Apache Commons در یک پیکربندی آسیب پذیر که به مهاجمان اجازه می دهد از آسیب پذیری با داده های کنترل شده توسط کاربر سوء استفاده کنند، آگاهی نداریم.
آنها افزودند که GreyNoise به نظارت بر هرگونه شواهدی مبنی بر فعالیت اکسپلویت "اثبات در عمل" ادامه می دهد.
Jfrog Security گفت که در حال نظارت بر این اشکال است و تا کنون، به نظر می رسد که این تاثیر محتمل است نسبت به Log4j گسترش کمتری خواهد داشت. جیفروگ در توییتی گفت: «CVE-2022-42889 جدید در متن Apache Commons خطرناک به نظر میرسد. به نظر میرسد فقط بر برنامههایی تأثیر میگذارد که رشتههای کنترل شده توسط مهاجم را به StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup() ارسال میکنند.
فروشنده امنیتی گفت افرادی که از جاوا نسخه 15 و بالاتر استفاده می کنند باید از اجرای کد در امان باشند زیرا درون یابی اسکریپت کار نخواهد کرد. اما سایر بردارهای بالقوه برای بهره برداری از این نقص - از طریق DNS و URL - همچنان کار خواهند کرد.