연구원들은 인증되지 않은 공격자가 영향을 받는 구성 요소가 있는 응용 프로그램을 실행하는 서버에서 원격으로 코드를 실행할 수 있는 방법을 제공하는 Apache Commons Text의 중요하고 새로 공개된 취약점을 면밀히 추적하고 있습니다.
결함(CVE-2022-42889)는 CVSS 척도에서 가능한 9.8 중 10.0의 심각도 순위가 지정되었으며 Apache Commons Text의 버전 1.5에서 1.9까지 존재합니다. 취약점에 대한 개념 증명 코드는 이미 사용 가능하지만 아직까지는 악용 활동의 징후가 없습니다.
업데이트된 버전 사용 가능
아파치 소프트웨어 재단(ASF) 업데이트된 버전을 출시했습니다 1.10.0월 24일에 소프트웨어(Apache Commons Text XNUMX)의 결함에 대한 조언 지난 목요일만. 이 문서에서 재단은 Apache Commons Text가 기본적으로 조회하고 검색하는 과정인 가변 보간을 수행할 때 안전하지 않은 기본값으로 인해 결함이 발생한다고 설명했습니다. 코드에서 문자열 값 평가 자리 표시자를 포함합니다. "버전 1.5부터 1.9까지 계속되는 기본 조회 인스턴스 세트에는 임의의 코드가 실행되거나 원격 서버와 연결될 수 있는 보간기가 포함되었습니다."
한편 NIST는 사용자에게 Apache Commons Text 1.10.0으로 업그레이드할 것을 촉구했습니다.문제가 있는 보간기를 비활성화합니다. 기본적으로."
ASF Apache는 Commons Text 라이브러리를 표준 JDK(Java Development Kit) 텍스트 처리에 대한 추가 기능을 제공한다고 설명합니다. 약간 2,588 프로젝트 Maven Central Java 저장소의 데이터에 따르면 현재 Apache Hadoop Common, Spark Project Core, Apache Velocity 및 Apache Commons Configuration과 같은 일부 주요 라이브러리를 포함하여 라이브러리를 사용하고 있습니다.
오늘 권고에서 GitHub Security Lab은 다음과 같이 말했습니다. 펜 테스터 중 하나 버그를 발견하고 XNUMX월에 ASF의 보안 팀에 보고했습니다.
지금까지 버그를 추적하는 연구원들은 잠재적인 영향을 평가할 때 신중했습니다. 저명한 보안 연구원인 Kevin Beaumont는 작년 말의 악명 높은 Log4j 취약점을 언급하면서 이 취약점이 잠재적인 Log4shell 상황을 초래할 수 있는지 월요일 트윗에서 궁금해했습니다.
"아파치 커먼즈 텍스트 코드 실행을 허용하는 기능 지원, 잠재적으로 사용자가 제공한 텍스트 문자열에서"라고 Beaumont는 말했습니다. 그러나 이를 악용하려면 공격자가 사용자 입력도 수용하는 이 기능을 사용하는 웹 응용 프로그램을 찾아야 한다고 그는 말했습니다. "나는 아직 MSPaint를 열지 않을 것입니다. 아무도 웹앱을 찾을 수 없다면 이 기능을 사용하고 사용자가 제공한 입력이 도달할 수 있도록 합니다."라고 그는 트윗했습니다.
개념 증명이 우려를 악화시킴
위협 인텔리전스 회사인 GreyNoise의 연구원들은 Dark Reading에 회사가 CVE-2022-42889에 대한 PoC가 사용 가능하다는 사실을 알고 있다고 말했습니다. 그들에 따르면 새로운 취약점은 2022년 XNUMX월에 발표된 하나의 ASF와 거의 동일하며 Commons Text의 변수 보간과 관련이 있습니다. 그 취약점(CVE-2022-33980)는 Apache Commons Configuration에서 발견되었으며 새로운 결함과 동일한 심각도 등급을 받았습니다.
"우리는 의도적으로 취약하고 통제된 환경에서 취약점을 유발할 수 있는 CVE-2022-42889에 대한 개념 증명 코드를 알고 있습니다."라고 GreyNoise 연구원은 말합니다. "공격자가 사용자 제어 데이터로 취약점을 악용할 수 있는 취약한 구성에서 Apache Commons Text 라이브러리를 활용하여 널리 배포된 실제 응용 프로그램의 예를 알지 못합니다."
GreyNoise는 "실제 증명" 익스플로잇 활동의 증거를 계속 모니터링하고 있다고 덧붙였습니다.
Jfrog Security는 버그를 모니터링하고 있으며 지금까지 그 영향이 Log4j보다 덜 널리 퍼질 것입니다.. JFrog는 트윗에서 "Apache Commons Text의 새로운 CVE-2022-42889가 위험해 보입니다. "공격자가 제어하는 문자열을 StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()에 전달하는 앱에만 영향을 미치는 것 같습니다."라고 말했습니다.
보안 공급업체는 Java 버전 15 이상을 사용하는 사람들은 스크립트 보간이 작동하지 않기 때문에 코드 실행에서 안전해야 한다고 말했습니다. 그러나 DNS와 URL을 통해 결함을 악용할 수 있는 다른 잠재적인 벡터는 여전히 작동할 것이라고 지적했습니다.
