研究者は、影響を受けるコンポーネントを含むアプリケーションを実行しているサーバー上で、認証されていない攻撃者がリモートでコードを実行する方法を提供する、Apache Commons Text の重大な新たに公開された脆弱性を綿密に追跡しています。
欠陥(CVE-2022-42889) には、CVSS スケールで 9.8 から 10.0 の重大度が割り当てられており、Apache Commons Text のバージョン 1.5 から 1.9 に存在します。 この脆弱性の概念実証コードはすでに利用可能ですが、これまでのところ悪用活動の兆候はありません。
更新されたバージョンが利用可能
アパッチ ソフトウェア財団 (ASF) 更新版をリリース 1.10.0 月 24 日にソフトウェア (Apache Commons Text XNUMX) の 欠陥に関する助言 先週の木曜日だけ。 その中で、財団は、Apache Commons Text が変数補間を実行する際の安全でないデフォルトに起因する欠陥であると説明しました。 コード内の文字列値の評価 プレースホルダーが含まれています。 「バージョン 1.5 から 1.9 まで、デフォルトの Lookup インスタンスのセットには、任意のコードの実行やリモート サーバーとの接続を引き起こす可能性のあるインターポレーターが含まれていました」とアドバイザリは述べています。
一方、NIST は、ユーザーに Apache Commons Text 1.10.0 にアップグレードするよう促し、次のように述べています。問題のあるインターポレーターを無効にします デフォルトで。」
ASF Apache は、Commons Text ライブラリが、標準の Java Development Kit (JDK) のテキスト処理に追加機能を提供するものであると説明しています。 いくつか 2,588プロジェクト Maven Central Java リポジトリのデータによると、現在、Apache Hadoop Common、Spark Project Core、Apache Velocity、Apache Commons Configuration などの主要なライブラリを含むライブラリを使用しています。
今日のアドバイザリで、GitHub Security Lab は、 侵入テスターの XNUMX 人 はバグを発見し、XNUMX 月に ASF のセキュリティ チームに報告しました。
これまでのところバグを追跡している研究者は、潜在的な影響の評価に慎重でした。 著名なセキュリティ研究者である Kevin Beaumont 氏は月曜日のツイートで、昨年末に発生した悪名高い Log4j の脆弱性に言及して、この脆弱性が潜在的な Log4shell の状況につながる可能性があるかどうか疑問に思いました。
「Apache Commons テキスト コード実行を可能にする機能をサポート、潜在的にユーザーが提供するテキスト文字列で」とBeaumont氏は言います。 しかし、それを悪用するためには、攻撃者はこの機能を使用し、ユーザー入力も受け入れる Web アプリケーションを見つける必要がある、と彼は述べた。 「まだ MSPaint を開きません。 誰かがウェブアプリを見つけられない限り この関数を使用して、ユーザーが入力した入力をそれに到達できるようにします」と彼はツイートしました。
概念実証が懸念を悪化させる
脅威インテリジェンス企業である GreyNoise の研究者は、同社が CVE-2022-42889 の PoC が利用可能になったことを認識していると Dark Reading に語った。 彼らによると、新しい脆弱性は、2022 年 XNUMX 月に発表された XNUMX つの ASF とほぼ同じであり、これも Commons Text の変数補間に関連していました。 その脆弱性(CVE-2022-33980) は Apache Commons Configuration で発見され、新しい脆弱性と同じ重大度評価を持っていました。
「私たちは、意図的に脆弱で制御された環境で脆弱性を引き起こす可能性がある CVE-2022-42889 の概念実証コードを認識しています」と、GreyNoise の研究者は述べています。 「攻撃者がユーザー制御データで脆弱性を悪用できる脆弱な構成でApache Commons Textライブラリを利用して、広く展開されている実世界のアプリケーションの例を認識していません。」
GreyNoise は、「実際に証明された」エクスプロイト活動の証拠を監視し続けている、と彼らは付け加えた。
Jfrog Security は、このバグを監視していると述べており、これまでのところ、影響が出る可能性が高いようです。 Log4jよりも普及しません. 「Apache Commons Text の新しい CVE-2022-42889 は危険に見えます」と JFrog はツイートで述べています。 「攻撃者が制御する文字列を StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup() に渡すアプリにのみ影響するようです」と、それは述べています。
セキュリティ ベンダーは、Java バージョン 15 以降を使用しているユーザーは、スクリプトの補間が機能しないため、コードが実行されないようにする必要があると述べています。 しかし、DNS や URL を介してこの脆弱性を悪用する可能性のある他の方法は引き続き有効である、と同社は指摘しています。
