Para peneliti sedang melacak dengan cermat kerentanan kritis yang baru diungkapkan di Apache Commons Text yang memberi penyerang yang tidak diautentikasi cara untuk mengeksekusi kode dari jarak jauh di server yang menjalankan aplikasi dengan komponen yang terpengaruh.
cacat (CVE-2022-42889) telah diberi peringkat keparahan 9.8 dari kemungkinan 10.0 pada skala CVSS dan ada di versi 1.5 hingga 1.9 dari Apache Commons Text. Kode proof-of-concept untuk kerentanan sudah tersedia, meskipun sejauh ini belum ada tanda-tanda aktivitas eksploitasi.
Versi yang Diperbarui Tersedia
Yayasan Perangkat Lunak Apache (ASF) merilis versi yang diperbarui perangkat lunak (Apache Commons Text 1.10.0) pada 24 September tetapi mengeluarkan nasihat tentang cacat baru Kamis kemarin. Di dalamnya, Yayasan menggambarkan cacat sebagai berasal dari default tidak aman ketika Apache Commons Text melakukan interpolasi variabel, yang pada dasarnya adalah proses mencari dan mengevaluasi nilai string dalam kode yang berisi placeholder. โDimulai dengan versi 1.5 dan berlanjut hingga 1.9, rangkaian instance Lookup default termasuk interpolator yang dapat mengakibatkan eksekusi kode arbitrer atau kontak dengan server jarak jauh,โ kata penasihat tersebut.
NIST, sementara itu, mendesak pengguna untuk meningkatkan ke Apache Commons Text 1.10.0, yang katanya, โmenonaktifkan interpolator yang bermasalah secara default.โ
ASF Apache menjelaskan pustaka Teks Commons sebagai menyediakan tambahan untuk penanganan teks Java Development Kit (JDK) standar. Beberapa proyek 2,588 saat ini menggunakan perpustakaan, termasuk beberapa yang utama seperti Apache Hadoop Common, Spark Project Core, Apache Velocity, dan Konfigurasi Apache Commons, menurut data di repositori Maven Central Java.
Dalam penasehat hari ini, Lab Keamanan GitHub mengatakan itu salah satu penguji penanya yang telah menemukan bug dan melaporkannya ke tim keamanan di ASF pada bulan Maret.
Para peneliti yang melacak bug sejauh ini berhati-hati dalam menilai dampak potensialnya. Peneliti keamanan terkenal Kevin Beaumont bertanya-tanya dalam sebuah tweet pada hari Senin apakah kerentanan dapat mengakibatkan situasi Log4shell potensial, mengacu pada kerentanan Log4j yang terkenal dari akhir tahun lalu.
โTeks Apache Commons mendukung fungsi yang memungkinkan eksekusi kode, dalam string teks yang berpotensi disediakan pengguna, โkata Beaumont. Tetapi untuk mengeksploitasinya, penyerang perlu menemukan aplikasi Web menggunakan fungsi ini yang juga menerima masukan pengguna, katanya. โSaya belum akan membuka MSPaint, kecuali ada yang bisa menemukan webapps yang menggunakan fungsi ini dan memungkinkan input yang diberikan pengguna untuk mencapainya, โtweetnya.
Bukti Konsep Memperparah Kekhawatiran
Peneliti dari perusahaan intelijen ancaman GreyNoise mengatakan kepada Dark Reading bahwa perusahaan mengetahui PoC untuk CVE-2022-42889 tersedia. Menurut mereka, kerentanan baru ini hampir identik dengan satu ASF yang diumumkan pada Juli 2022 yang juga dikaitkan dengan interpolasi variabel di Commons Text. kerentanan itu (CVE-2022-33980) ditemukan di Konfigurasi Apache Commons dan memiliki tingkat keparahan yang sama dengan cacat baru.
โKami mengetahui kode Proof-Of-Concept untuk CVE-2022-42889 yang dapat memicu kerentanan di lingkungan yang sengaja dibuat rentan dan dikendalikan,โ kata peneliti GreyNoise. โKami tidak mengetahui adanya contoh aplikasi dunia nyata yang digunakan secara luas yang memanfaatkan perpustakaan Apache Commons Text dalam konfigurasi rentan yang memungkinkan penyerang mengeksploitasi kerentanan dengan data yang dikendalikan pengguna.โ
GreyNoise terus memantau bukti aktivitas eksploitasi "bukti-dalam-praktik", tambah mereka.
Jfrog Security mengatakan sedang memantau bug dan sejauh ini, tampaknya dampaknya akan kurang luas dari Log4j. "CVE-2022-42889 baru di Apache Commons Text terlihat berbahaya," kata JFrog dalam tweet. โTampaknya hanya memengaruhi aplikasi yang meneruskan string yang dikendalikan penyerang ke-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup(),โ katanya.
Vendor keamanan mengatakan orang yang menggunakan Java versi 15 dan yang lebih baru harus aman dari eksekusi kode karena interpolasi skrip tidak akan berfungsi. Tetapi vektor potensial lainnya untuk mengeksploitasi cacat โ melalui DNS dan URL โ masih akan berfungsi, katanya.