Tutkijat pitävät varovaisen silmällä Apache Commons -tekstin kriittistä uutta haavoittuvuutta

Tutkijat seuraavat tarkasti kriittistä, äskettäin paljastettua Apache Commons Textin haavoittuvuutta, joka antaa todentamattomille hyökkääjille tavan suorittaa koodia etänä palvelimilla, joissa on sovelluksia, joissa on kyseinen komponentti.

Vika (CVE-2022-42889) on annettu vakavuusasteeksi 9.8/10.0 CVSS-asteikolla, ja se on olemassa Apache Commons Textin versioissa 1.5–1.9. Haavoittuvuuden varmistuskoodi on jo saatavilla, vaikkakaan toistaiseksi ei ole näkynyt merkkejä hyväksikäytöstä.

Päivitetty versio saatavilla

Apache Software Foundation (ASF) julkaisi päivitetyn version ohjelmiston (Apache Commons Text 1.10.0) 24. syyskuuta, mutta julkaisi neuvoja virheestä vasta viime torstaina. Siinä Foundation kuvaili virheen johtuvan epävarmista oletusarvoista, kun Apache Commons Text suorittaa muuttujainterpoloinnin, joka pohjimmiltaan on prosessi, jossa etsitään ja merkkijonoarvojen arvioiminen koodissa jotka sisältävät paikkamerkkejä. "Alkaen versiosta 1.5 ja jatkuen 1.9:ään, oletushakuinstanssien joukko sisälsi interpolaattoreita, jotka saattoivat johtaa mielivaltaiseen koodin suorittamiseen tai yhteydenpitoon etäpalvelimiin", neuvolassa sanotaan.

Sillä välin NIST kehotti käyttäjiä päivittämään Apache Commons Text 1.10.0:aan, jossa se sanoi: "poistaa ongelmalliset interpolaattorit käytöstä oletuksena."

ASF Apache kuvailee Commons Text -kirjastoa lisäyksenä standardi Java Development Kitin (JDK) tekstinkäsittelyyn. Jonkin verran 2,588 projekteja käyttävät tällä hetkellä kirjastoa, mukaan lukien jotkin tärkeimmät, kuten Apache Hadoop Common, Spark Project Core, Apache Velocity ja Apache Commons Configuration, Maven Central Java -tietovaraston tietojen mukaan.

GitHub Security Lab sanoi tänään antamassaan neuvonnassa yksi sen kynätestauslaitteista joka oli löytänyt vian ja raportoinut siitä ASF:n turvallisuustiimille maaliskuussa.

Vikaa toistaiseksi jäljittäneet tutkijat ovat olleet varovaisia ​​arvioidessaan sen mahdollisia vaikutuksia. Tunnettu tietoturvatutkija Kevin Beaumont ihmetteli maanantaina Twitterissä, voisiko haavoittuvuus johtaa mahdolliseen Log4shell-tilanteeseen, viitaten pahamaineiseen Log4j-haavoittuvuuteen viime vuoden lopulla.

"Apache Commons -teksti tukee toimintoja, jotka mahdollistavat koodin suorittamisen, mahdollisesti käyttäjän toimittamissa merkkijonoissa", Beaumont sanoi. Mutta hyödyntääkseen sitä, hyökkääjän on löydettävä tätä toimintoa käyttävät verkkosovellukset, jotka hyväksyvät myös käyttäjän syötteen, hän sanoi. "En aio vielä avata MSPaintia, ellei kukaan löydä verkkosovelluksia jotka käyttävät tätä toimintoa ja sallivat käyttäjän syöttämän syötteen saavuttaa sen", hän twiittasi.

Käsitteen todistaminen pahentaa huolta

Uhkatietoyrityksen GreyNoisen tutkijat kertoivat Dark Readingille, että yritys tiesi CVE-2022-42889:n PoC:n olevan saatavilla. Heidän mukaansa uusi haavoittuvuus on lähes identtinen yhden heinäkuussa 2022 julkistetun ASF:n kanssa, joka myös liittyi muuttuvaan interpolointiin Commons Textissä. Se haavoittuvuus (CVE-2022-33980) löytyi Apache Commons Configurationista, ja sillä oli sama vakavuusluokitus kuin uudella virheellä.

"Olemme tietoisia Proof-Of-Concept -koodista CVE-2022-42889:lle, joka voi laukaista haavoittuvuuden tarkoituksellisesti haavoittuvaisessa ja valvotussa ympäristössä", GreyNoisen tutkijat sanovat. "Emme ole tietoisia esimerkkejä laajalti käytetyistä tosielämän sovelluksista, jotka käyttävät Apache Commons -tekstikirjastoa haavoittuvassa kokoonpanossa, jonka avulla hyökkääjät voisivat hyödyntää haavoittuvuutta käyttäjien hallitsemilla tiedoilla."

He lisäsivät, että GreyNoise seuraa edelleen mahdollisia todisteita "proof-in-praktikon" hyväksikäytöstä.

Jfrog Security sanoi, että se tarkkailee vikaa ja toistaiseksi vaikuttaa todennäköiseltä, että vaikutus on vähemmän levinnyt kuin Log4j. "Uusi CVE-2022-42889 Apache Commons Textissä näyttää vaaralliselta", JFrog sanoi twiitissä. "Näyttää vaikuttavan vain sovelluksiin, jotka välittävät hyökkääjän ohjaamia merkkijonoja StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()," sanoi.

Tietoturvatoimittaja sanoi, että Java-versiota 15 ja uudempia käyttävien ihmisten tulisi olla turvassa koodin suorittamiselta, koska komentosarjan interpolointi ei toimi. Mutta muut mahdolliset vektorit virheen hyödyntämiseen - DNS:n ja URL-osoitteen kautta - toimisivat edelleen, se huomautti.