A kutatók szorosan nyomon követik az Apache Commons Text kritikus, újonnan feltárt biztonsági rését, amely lehetővé teszi a nem hitelesített támadók számára, hogy távolról kódot hajtsanak végre az érintett komponenssel rendelkező alkalmazásokat futtató szervereken.
A hiba (CVE-2022 42889-) a lehetséges 9.8-ból 10.0-as súlyossági besorolást kapott a CVSS-skálán, és az Apache Commons Text 1.5–1.9 verzióiban létezik. A sérülékenységhez már rendelkezésre áll a koncepciót igazoló kód, bár eddig semmi jele nem volt kihasználási tevékenységnek.
Frissített verzió elérhető
Az Apache Software Foundation (ASF) frissített verziót adott ki szoftverének (Apache Commons Text 1.10.0) szeptember 24-én, de kiadott egy tanács a hibával kapcsolatban csak múlt csütörtökön. Ebben az Alapítvány úgy írta le a hibát, mint ami a nem biztonságos alapértelmezésekből fakad, amikor az Apache Commons Text változó interpolációt hajt végre, ami alapvetően a felkutatás és karakterláncértékek kiértékelése a kódban amelyek helyőrzőket tartalmaznak. "Az 1.5-ös verziótól kezdve az 1.9-es verzióig az alapértelmezett Lookup-példányok olyan interpolátorokat tartalmaztak, amelyek tetszőleges kódfuttatáshoz vagy távoli szerverekkel való kapcsolatfelvételhez vezethetnek" - áll a tanácsban.
A NIST eközben arra kérte a felhasználókat, hogy frissítsenek az Apache Commons Text 1.10.0-ra, és ezt mondta: "letiltja a problémás interpolátorokat alapértelmezés szerint."
Az ASF Apache a Commons Text könyvtárat úgy írja le, mint amely kiegészíti a szabványos Java Development Kit (JDK) szövegkezelését. Néhány 2,588 projektek jelenleg a könyvtárat használják, beleértve néhány főbbet, mint például az Apache Hadoop Common, a Spark Project Core, az Apache Velocity és az Apache Commons Configuration, a Maven Central Java tárhely adatai szerint.
A GitHub Security Lab egy mai tanácsában azt mondta, hogy igen az egyik tolltesztelője amely felfedezte a hibát, és márciusban jelentette azt az ASF biztonsági csapatának.
A hibát eddig nyomon követő kutatók óvatosan értékelték annak lehetséges hatását. A neves biztonságkutató, Kevin Beaumont egy hétfői tweetben azon töprengett, hogy a sérülékenység potenciális Log4shell-helyzethez vezethet-e, utalva a tavaly év végi hírhedt Log4j sebezhetőségre.
„Apache Commons szöveg támogatja a kódfuttatást lehetővé tevő funkciókat, potenciálisan a felhasználók által megadott szöveges karakterláncokban” – mondta Beaumont. De ahhoz, hogy kihasználhassa, a támadónak olyan webes alkalmazásokat kell találnia, amelyek ezt a funkciót használják, és amelyek elfogadják a felhasználói bevitelt is, mondta. "Még nem nyitom meg az MSPaint-et, hacsak valaki nem talál webalkalmazásokat amelyek ezt a funkciót használják, és lehetővé teszik, hogy a felhasználó által megadott bemenet elérje” – írta a Twitteren.
A koncepció bizonyítása fokozza az aggodalmakat
A GreyNoise fenyegetésekkel foglalkozó hírszerző cég kutatói a Dark Readingnek elmondták, hogy a cég tudott arról, hogy a CVE-2022-42889 PoC elérhetővé válik. Szerintük az új sebezhetőség majdnem megegyezik egy 2022 júliusában bejelentett ASF-vel, amelyet szintén a Commons Text változó interpolációjával társítottak. Az a sebezhetőség (CVE-2022 33980-).
"Tisztában vagyunk a Proof-Of-Concept kóddal a CVE-2022-42889-hez, amely kiválthatja a sebezhetőséget szándékosan sebezhető és ellenőrzött környezetben" - mondják a GreyNoise kutatói. "Nem tudunk olyan példáról, amely széles körben telepített valós alkalmazásokat használna az Apache Commons Text könyvtárat olyan sebezhető konfigurációban, amely lehetővé tenné a támadók számára, hogy felhasználó által ellenőrzött adatokkal használják ki a biztonsági rést."
Hozzátették, hogy a GreyNoise továbbra is figyelemmel kíséri a „gyakorlatban bizonyított” visszaélésekre utaló bizonyítékokat.
A Jfrog Security azt mondta, hogy figyelemmel kíséri a hibát, és eddig valószínűnek tűnik, hogy a hatás kevésbé lesz elterjedt, mint a Log4j. „Az új CVE-2022-42889 az Apache Commons szövegben veszélyesnek tűnik” – mondta JFrog egy tweetben. „Úgy tűnik, hogy csak azokat az alkalmazásokat érinti, amelyek támadók által vezérelt karakterláncokat adnak át a StringLookupFactory.INSTANCE.interpolatorStringLookup(.lookup()-nak” – áll a közleményben.
A biztonsági gyártó szerint a Java 15-ös vagy újabb verzióját használóknak biztonságban kell lenniük a kódfuttatástól, mivel a szkriptinterpoláció nem működik. De a hiba kihasználásának más lehetséges vektorai – DNS-en és URL-en keresztül – továbbra is működnének, jegyezte meg.