Onderzoekers volgen nauwlettend een kritieke, nieuw onthulde kwetsbaarheid in Apache Commons Text die niet-geverifieerde aanvallers een manier biedt om op afstand code uit te voeren op servers waarop applicaties met het getroffen onderdeel draaien.
de fout (CVE-2022-42889) heeft een prioriteitsclassificatie van 9.8 van een mogelijke 10.0 op de CVSS-schaal gekregen en bestaat in versies 1.5 tot en met 1.9 van Apache Commons Text. Proof-of-concept-code voor de kwetsbaarheid is al beschikbaar, maar tot nu toe zijn er geen tekenen van exploit-activiteit geweest.
Bijgewerkte versie beschikbaar
De Apache Software Foundation (ASF) een bijgewerkte versie uitgebracht van de software (Apache Commons Text 1.10.0) op 24 september, maar gaf een advies over de fout pas afgelopen donderdag. Daarin beschreef de Foundation de fout als een gevolg van onveilige standaardinstellingen wanneer Apache Commons Text variabele interpolatie uitvoert, wat in feite het proces is van opzoeken en stringwaarden in code evalueren die plaatsaanduidingen bevatten. "Vanaf versie 1.5 en doorlopend tot en met 1.9, bevatte de set standaard Lookup-instanties interpolators die konden resulteren in het uitvoeren van willekeurige code of contact met externe servers", aldus het advies.
NIST drong er ondertussen bij gebruikers op aan om te upgraden naar Apache Commons Text 1.10.0, waarin het zei: โschakelt de problematische interpolators uit standaard."
De ASF Apache beschrijft de Commons Text-bibliotheek als aanvullingen op de standaard Java Development Kit's (JDK) tekstverwerking. Sommige 2,588 projecten gebruiken momenteel de bibliotheek, waaronder enkele belangrijke zoals Apache Hadoop Common, Spark Project Core, Apache Velocity en Apache Commons Configuration, volgens gegevens in de Maven Central Java-repository.
In een advies van vandaag zei GitHub Security Lab dat het zo was: een van zijn pentesters die de bug had ontdekt en deze in maart aan het beveiligingsteam van ASF had gemeld.
Onderzoekers die de bug tot nu toe hebben gevolgd, zijn voorzichtig geweest in hun beoordeling van de mogelijke impact. De bekende beveiligingsonderzoeker Kevin Beaumont vroeg zich maandag in een tweet af of de kwetsbaarheid zou kunnen leiden tot een mogelijke Log4shell-situatie, verwijzend naar de beruchte Log4j-kwetsbaarheid van eind vorig jaar.
"Apache Commons-tekst" ondersteunt functies waarmee code kan worden uitgevoerd, in mogelijk door de gebruiker aangeleverde tekststrings', zei Beaumont. Maar om er misbruik van te maken, zou een aanvaller webapplicaties moeten vinden die deze functie gebruiken en die ook gebruikersinvoer accepteren, zei hij. โIk zal MSPaint nog niet openen, tenzij iemand webapps kan vinden die deze functie gebruiken en door de gebruiker ingevoerde input toestaan โโom deze te bereikenโ, tweette hij.
Proof-of-Concept verergert zorgen
Onderzoekers van het inlichtingenbureau GreyNoise vertelden aan Dark Reading dat het bedrijf op de hoogte was van het beschikbaar komen van PoC voor CVE-2022-42889. Volgens hen is de nieuwe kwetsbaarheid bijna identiek aan een ASF die in juli 2022 werd aangekondigd en die ook werd geassocieerd met variabele interpolatie in Commons Text. Die kwetsbaarheid (CVE-2022-33980) werd gevonden in de Apache Commons-configuratie en had dezelfde ernstclassificatie als de nieuwe fout.
"We zijn op de hoogte van Proof-Of-Concept-code voor CVE-2022-42889 die de kwetsbaarheid kan activeren in een opzettelijk kwetsbare en gecontroleerde omgeving", zeggen GreyNoise-onderzoekers. "We zijn niet op de hoogte van voorbeelden van wijdverbreide real-world applicaties die de Apache Commons Text-bibliotheek gebruiken in een kwetsbare configuratie die aanvallers in staat zou stellen de kwetsbaarheid te misbruiken met door de gebruiker gecontroleerde gegevens."
GreyNoise blijft controleren op enig bewijs van "proof-in-practice" exploit-activiteit, voegde ze eraan toe.
Jfrog Security zei dat het de bug in de gaten houdt en tot nu toe lijkt het waarschijnlijk dat de impact zal minder wijdverbreid zijn dan Log4j. "Nieuwe CVE-2022-42889 in Apache Commons Text ziet er gevaarlijk uit", zei JFrog in een tweet. "Het lijkt alleen van invloed te zijn op apps die door een aanvaller gecontroleerde tekenreeksen doorgeven aan StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()", zei het.
De beveiligingsleverancier zei dat mensen die Java versie 15 en later gebruiken, veilig moeten zijn voor het uitvoeren van code, omdat scriptinterpolatie niet werkt. Maar andere potentiรซle vectoren om de fout te exploiteren - via DNS en URL - zouden nog steeds werken, merkte het op.
