अपाचे कॉमन्स टेक्स्ट में गंभीर नई भेद्यता पर शोधकर्ता सतर्क नजर रखते हैं

शोधकर्ता अपाचे कॉमन्स टेक्स्ट में एक महत्वपूर्ण, नई प्रकट भेद्यता को बारीकी से ट्रैक कर रहे हैं जो अनधिकृत हमलावरों को प्रभावित घटक के साथ एप्लिकेशन चलाने वाले सर्वर पर दूरस्थ रूप से कोड निष्पादित करने का एक तरीका देता है।

दोष (CVE-2022-42889) को सीवीएसएस पैमाने पर संभावित 9.8 में से 10.0 की गंभीरता रैंकिंग दी गई है और अपाचे कॉमन्स टेक्स्ट के संस्करण 1.5 से 1.9 में मौजूद है। भेद्यता के लिए प्रूफ-ऑफ-कॉन्सेप्ट कोड पहले से ही उपलब्ध है, हालांकि अभी तक शोषण गतिविधि का कोई संकेत नहीं मिला है।

अद्यतन संस्करण उपलब्ध

अपाचे सॉफ्टवेयर फाउंडेशन (एएसएफ) एक अद्यतन संस्करण जारी किया सॉफ्टवेयर का (अपाचे कॉमन्स टेक्स्ट 1.10.0) 24 सितंबर को लेकिन जारी किया गया दोष पर सलाह केवल पिछले गुरुवार। इसमें, फाउंडेशन ने दोष को असुरक्षित चूक से उत्पन्न होने के रूप में वर्णित किया जब अपाचे कॉमन्स टेक्स्ट परिवर्तनीय इंटरपोलेशन करता है, जो मूल रूप से देखने की प्रक्रिया है और कोड में स्ट्रिंग मानों का मूल्यांकन करना जिसमें प्लेसहोल्डर होते हैं। "संस्करण 1.5 के साथ शुरू और 1.9 के माध्यम से जारी, डिफ़ॉल्ट लुकअप इंस्टेंस के सेट में इंटरपोलेटर शामिल थे जो मनमाने ढंग से कोड निष्पादन या दूरस्थ सर्वर से संपर्क कर सकते थे," सलाहकार ने कहा।

इस बीच, एनआईएसटी ने उपयोगकर्ताओं से अपाचे कॉमन्स टेक्स्ट 1.10.0 में अपग्रेड करने का आग्रह किया, जिसमें उसने कहा, "समस्याग्रस्त इंटरपोलेटर को अक्षम करता है डिफ़ॉल्ट रूप से।"

एएसएफ अपाचे कॉमन्स टेक्स्ट लाइब्रेरी को मानक जावा डेवलपमेंट किट (जेडीके) टेक्स्ट हैंडलिंग में अतिरिक्त प्रदान करने के रूप में वर्णित करता है। कुछ 2,588 परियोजनाओं मावेन सेंट्रल जावा रिपॉजिटरी के आंकड़ों के अनुसार, वर्तमान में कुछ प्रमुख लोगों जैसे अपाचे हडोप कॉमन, स्पार्क प्रोजेक्ट कोर, अपाचे वेलोसिटी और अपाचे कॉमन्स कॉन्फ़िगरेशन सहित पुस्तकालय का उपयोग करते हैं।

आज एक परामर्श में, GitHub Security Lab ने कहा कि यह था इसके कलम परीक्षकों में से एक जिसने बग की खोज की थी और मार्च में एएसएफ में सुरक्षा दल को इसकी सूचना दी थी।

बग पर नज़र रखने वाले शोधकर्ता अब तक इसके संभावित प्रभाव के आकलन में सतर्क रहे हैं। जाने-माने सुरक्षा शोधकर्ता केविन ब्यूमोंट ने सोमवार को एक ट्वीट में आश्चर्य व्यक्त किया कि क्या पिछले साल के अंत से कुख्यात Log4j भेद्यता का जिक्र करते हुए भेद्यता संभावित Log4shell स्थिति में परिणाम कर सकती है।

"अपाचे कॉमन्स टेक्स्ट उन कार्यों का समर्थन करता है जो कोड निष्पादन की अनुमति देते हैं, संभावित रूप से उपयोगकर्ता द्वारा आपूर्ति किए गए टेक्स्ट स्ट्रिंग्स में," ब्यूमोंट ने कहा। लेकिन इसका फायदा उठाने के लिए, एक हमलावर को इस फ़ंक्शन का उपयोग करके वेब एप्लिकेशन खोजने की आवश्यकता होगी जो उपयोगकर्ता इनपुट भी स्वीकार करते हैं, उन्होंने कहा। "मैं अभी तक MSPaint नहीं खोलूंगा, जब तक कोई भी वेबएप्स नहीं ढूंढ सकता जो इस फ़ंक्शन का उपयोग करते हैं और उपयोगकर्ता द्वारा आपूर्ति किए गए इनपुट को उस तक पहुंचने की अनुमति देते हैं, ”उन्होंने ट्वीट किया।

प्रूफ-ऑफ-कॉन्सेप्ट चिंताओं को बढ़ाता है

थ्रेट इंटेलिजेंस फर्म ग्रेनोइस के शोधकर्ताओं ने डार्क रीडिंग को बताया कि कंपनी को सीवीई-2022-42889 के लिए पीओसी उपलब्ध होने की जानकारी थी। उनके अनुसार, नई भेद्यता जुलाई 2022 में घोषित एक एएसएफ के लगभग समान है जो कॉमन्स टेक्स्ट में परिवर्तनीय इंटरपोलेशन से भी जुड़ा था। वह भेद्यता (CVE-2022-33980) अपाचे कॉमन्स कॉन्फ़िगरेशन में पाया गया था और इसकी गंभीरता रेटिंग नए दोष के समान थी।

"हम CVE-2022-42889 के लिए प्रूफ-ऑफ-कॉन्सेप्ट कोड के बारे में जानते हैं जो जानबूझकर कमजोर और नियंत्रित वातावरण में भेद्यता को ट्रिगर कर सकता है," ग्रेनोइस शोधकर्ताओं का कहना है। "हम एक संवेदनशील कॉन्फ़िगरेशन में अपाचे कॉमन्स टेक्स्ट लाइब्रेरी का उपयोग करने वाले व्यापक रूप से तैनात वास्तविक दुनिया के अनुप्रयोगों के किसी भी उदाहरण से अवगत नहीं हैं जो हमलावरों को उपयोगकर्ता-नियंत्रित डेटा के साथ भेद्यता का फायदा उठाने की अनुमति देगा।"

उन्होंने कहा कि GreyNoise "सबूत-इन-प्रैक्टिस" शोषण गतिविधि के किसी भी सबूत के लिए निगरानी जारी रखे हुए है।

Jfrog सुरक्षा ने कहा कि यह बग की निगरानी कर रहा है और अब तक, ऐसा प्रतीत होता है कि प्रभाव Log4j . से कम व्यापक होगा. JFrog ने एक ट्वीट में कहा, "अपाचे कॉमन्स टेक्स्ट में नया CVE-2022-42889 खतरनाक लग रहा है।" "ऐसा लगता है कि केवल उन ऐप्स को प्रभावित करता है जो हमलावर-नियंत्रित स्ट्रिंग्स को-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup() पर पास करते हैं," यह कहा।

सुरक्षा विक्रेता ने कहा कि जावा संस्करण 15 और बाद के संस्करण का उपयोग करने वाले लोगों को कोड निष्पादन से सुरक्षित होना चाहिए क्योंकि स्क्रिप्ट इंटरपोलेशन काम नहीं करेगा। लेकिन दोष का फायदा उठाने के लिए अन्य संभावित वैक्टर - डीएनएस और यूआरएल के माध्यम से - अभी भी काम करेंगे, यह नोट किया।