I ricercatori stanno monitorando da vicino una vulnerabilità critica recentemente rivelata in Apache Commons Text che offre agli aggressori non autenticati un modo per eseguire codice in remoto sui server che eseguono applicazioni con il componente interessato.
Il difetto (CVE-2022-42889) è stato assegnato un punteggio di gravità pari a 9.8 su un possibile 10.0 sulla scala CVSS ed esiste nelle versioni da 1.5 a 1.9 di Apache Commons Text. Il codice proof-of-concept per la vulnerabilità è già disponibile, anche se finora non c’è stato alcun segno di attività di exploit.
Versione aggiornata disponibile
La Apache Software Foundation (ASF) ha rilasciato una versione aggiornata del software (Apache Commons Text 1.10.0) il 24 settembre ma ha rilasciato un consulenza sul difetto solo giovedì scorso. In esso, la Fondazione descriveva il difetto come derivante da impostazioni predefinite non sicure quando Apache Commons Text esegue l'interpolazione variabile, che fondamentalmente è il processo di ricerca e valutare i valori di stringa nel codice che contengono segnaposto. "A partire dalla versione 1.5 e proseguendo fino alla 1.9, l'insieme di istanze di Lookup predefinite includeva interpolatori che potevano comportare l'esecuzione di codice arbitrario o il contatto con server remoti", afferma l'avviso.
Il NIST, nel frattempo, ha esortato gli utenti ad aggiornare ad Apache Commons Text 1.10.0, affermando: "disabilita gli interpolatori problematici per impostazione predefinita."
L'ASF Apache descrive la libreria Commons Text come una soluzione che fornisce aggiunte alla gestione del testo standard del Java Development Kit (JDK). Alcuni progetti 2,588 attualmente utilizzano la libreria, incluse alcune importanti come Apache Hadoop Common, Spark Project Core, Apache Velocity e Apache Commons Configuration, secondo i dati nel repository Maven Central Java.
In un avviso di oggi, GitHub Security Lab ha affermato di sì uno dei suoi pen tester che aveva scoperto il bug e lo aveva segnalato al team di sicurezza dell'ASF a marzo.
I ricercatori che finora hanno monitorato il bug sono stati cauti nella valutazione del suo potenziale impatto. Il noto ricercatore di sicurezza Kevin Beaumont si è chiesto in un tweet lunedì se la vulnerabilità potesse comportare una potenziale situazione Log4shell, riferendosi alla famigerata vulnerabilità Log4j della fine dell'anno scorso.
“Testo Apache Commons supporta funzioni che consentono l'esecuzione del codice, in stringhe di testo potenzialmente fornite dall'utente", ha affermato Beaumont. Ma per sfruttarlo, un utente malintenzionato dovrebbe trovare applicazioni Web che utilizzano questa funzione e che accettano anche l'input dell'utente, ha spiegato. "Non aprirò ancora MSPaint, a meno che qualcuno non riesca a trovare webapp che utilizzano questa funzione e consentono l'input fornito dall'utente per raggiungerla", ha twittato.
La prova di concetto aggrava le preoccupazioni
I ricercatori della società di intelligence sulle minacce GreyNoise hanno dichiarato a Dark Reading che la società era a conoscenza della disponibilità del PoC per CVE-2022-42889. Secondo loro, la nuova vulnerabilità è quasi identica a un’ASF annunciata nel luglio 2022, anch’essa associata all’interpolazione variabile in Commons Text. Quella vulnerabilità (CVE-2022-33980) è stato trovato nella configurazione di Apache Commons e aveva lo stesso livello di gravità del nuovo difetto.
"Siamo a conoscenza del codice Proof-Of-Concept per CVE-2022-42889 che può innescare la vulnerabilità in un ambiente intenzionalmente vulnerabile e controllato", affermano i ricercatori di GreyNoise. "Non siamo a conoscenza di alcun esempio di applicazioni reali ampiamente distribuite che utilizzino la libreria Apache Commons Text in una configurazione vulnerabile che consentirebbe agli aggressori di sfruttare la vulnerabilità con dati controllati dall'utente."
GreyNoise continua a monitorare eventuali prove di attività di exploit "prova in pratica", hanno aggiunto.
Jfrog Security ha affermato che sta monitorando il bug e finora sembra probabile che l'impatto sarà meno diffuso di Log4j. "Il nuovo CVE-2022-42889 nel testo Apache Commons sembra pericoloso", ha detto JFrog in un tweet. "Sembra influenzare solo le app che passano stringhe controllate dall'aggressore a-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()", ha affermato.
Il fornitore di sicurezza ha affermato che le persone che utilizzano Java versione 15 e successive dovrebbero essere al sicuro dall'esecuzione di codice poiché l'interpolazione degli script non funzionerà. Ma altri potenziali vettori per sfruttare la falla – tramite DNS e URL – funzionerebbero comunque, ha osservato.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
