חוקרים עוקבים מקרוב אחר פגיעות קריטית שנחשפה לאחרונה ב-Apache Commons Text המעניקה לתוקפים לא מאומתים דרך להפעיל קוד מרחוק בשרתים המריצים יישומים עם הרכיב המושפע.
הפגם (CVE-2022-42889) הוקצה לדירוג חומרה של 9.8 מתוך 10.0 אפשרי בסולם CVSS וקיים בגרסאות 1.5 עד 1.9 של Apache Commons Text. קוד הוכחת מושג לפגיעות כבר זמין, אם כי עד כה לא היה סימן לפעילות ניצול.
גרסה מעודכנת זמינה
קרן תוכנת אפאצ'י (ASF) הוציאה גרסה מעודכנת של התוכנה (Apache Commons Text 1.10.0) ב-24 בספטמבר אך הוציאה ייעוץ לגבי הפגם רק ביום חמישי האחרון. בו, הקרן תיארה את הפגם כנובע מברירות מחדל לא מאובטחות כאשר Apache Commons Text מבצע אינטרפולציה משתנה, שבעצם הוא תהליך של חיפוש ו הערכת ערכי מחרוזת בקוד המכילים מצייני מיקום. "החל מגרסה 1.5 וממשיך עד 1.9, קבוצת מופעי ברירת המחדל של Lookup כללה אינטרפולטורים שעלולים לגרום לביצוע קוד שרירותי או למגע עם שרתים מרוחקים", נכתב בייעוץ.
NIST, בינתיים, הפציר במשתמשים לשדרג ל-Apache Commons Text 1.10.0, שלדבריו, "משבית את האינטרפולטורים הבעייתיים כברירת מחדל."
ה-ASF Apache מתאר את ספריית הטקסט של Commons כמספקת תוספות לטיפול בטקסט הסטנדרטי של ערכת הפיתוח של Java (JDK). כמה פרויקטים 2,588 משתמשים כרגע בספרייה, כולל כמה מהגדולות כמו Apache Hadoop Common, Spark Project Core, Apache Velocity ו- Apache Commons Configuration, לפי נתונים במאגר Maven Central Java.
בייעוץ היום, GitHub Security Lab אמרה שכן אחד מבוחני העט שלה שגילה את הבאג ודיווחה עליו לצוות האבטחה ב-ASF במרץ.
חוקרים שעוקבים אחר הבאג עד כה היו זהירים בהערכת ההשפעה הפוטנציאלית שלו. חוקר האבטחה הידוע קווין ביומונט תהה בציוץ ביום שני אם הפגיעות עלולה לגרום למצב Log4shell פוטנציאלי, בהתייחס לפגיעות Log4j הידועה לשמצה מסוף השנה שעברה.
"טקסט של אפאצ'י קומונס תומך בפונקציות המאפשרות ביצוע קוד, במחרוזות טקסט שעלולות לספק משתמש", אמר Beaumont. אבל כדי לנצל אותו, תוקף יצטרך למצוא יישומי אינטרנט המשתמשים בפונקציה הזו שמקבלים גם קלט משתמשים, אמר. "אני לא אפתח את MSPaint עדיין, אלא אם מישהו יכול למצוא אפליקציות אינטרנט שמשתמשים בפונקציה הזו ומאפשרים לקלט שסופק על ידי המשתמש להגיע אליה", צייץ בטוויטר.
הוכחת מושג מחמירה את החששות
חוקרים מחברת מודיעין האיומים GreyNoise אמרו ל-Dark Reading שהחברה מודעת לכך ש-PoC עבור CVE-2022-42889 הופך זמין. לדבריהם, הפגיעות החדשה כמעט זהה ל-ASF אחד שהוכרז ביולי 2022, שגם היה קשור לאינטרפולציה משתנים ב-Commons Text. הפגיעות הזו (CVE-2022-33980) נמצא בתצורת Apache Commons והיה בעל דירוג חומרה זהה לפגם החדש.
"אנו מודעים לקוד Proof-Of-Of-Concept עבור CVE-2022-42889 שיכול לעורר את הפגיעות בסביבה פגיעה ומבוקרת במכוון", אומרים חוקרי GreyNoise. "איננו מודעים לדוגמאות כלשהן של יישומים בעולם האמיתי בפריסה רחבה המשתמשות בספריית הטקסט של Apache Commons בתצורה פגיעה שתאפשר לתוקפים לנצל את הפגיעות עם נתונים הנשלטים על ידי המשתמש."
GreyNoise ממשיכה לעקוב אחר כל עדות לפעילות ניצול "הוכחה בתרגול", הם הוסיפו.
Jfrog Security אמרה כי היא עוקבת אחר הבאג ועד כה, נראה כי ההשפעה יהיה פחות נפוץ מ-Log4j. "CVE-2022-42889 חדש בטקסט של Apache Commons נראה מסוכן", אמר JFrog בציוץ. "נראה שמשפיע רק על אפליקציות שמעבירות מחרוזות הנשלטות על ידי תוקף אל-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()", נכתב.
ספק האבטחה אמר שאנשים המשתמשים ב-Java גרסה 15 ואילך צריכים להיות בטוחים מביצוע קוד מכיוון שאינטרפולציה של סקריפט לא תעבוד. אבל וקטורים פוטנציאליים אחרים לניצול הפגם - באמצעות DNS ו-URL - עדיין יעבדו, הוא ציין.
