Forskere følger nøye en kritisk, nylig avslørt sårbarhet i Apache Commons Text som gir uautentiserte angripere en måte å kjøre kode eksternt på servere som kjører applikasjoner med den berørte komponenten.
Feilen (CVE-2022-42889) har blitt tildelt en alvorlighetsgrad på 9.8 av mulige 10.0 på CVSS-skalaen og finnes i versjon 1.5 til 1.9 av Apache Commons Text. Proof-of-concept-kode for sårbarheten er allerede tilgjengelig, men så langt har det ikke vært tegn til utnyttelsesaktivitet.
Oppdatert versjon tilgjengelig
Apache Software Foundation (ASF) gitt ut en oppdatert versjon av programvaren (Apache Commons Text 1.10.0) 24. september, men utstedte en rådgivende om feilen bare forrige torsdag. I den beskrev stiftelsen feilen som stammer fra usikre standardinnstillinger når Apache Commons Text utfører variabel interpolasjon, som i utgangspunktet er prosessen med å slå opp og evaluere strengverdier i kode som inneholder plassholdere. "Fra og med versjon 1.5 og fortsetter til 1.9, inkluderte settet med standard oppslagsforekomster interpolatorer som kan resultere i vilkårlig kodekjøring eller kontakt med eksterne servere," sa rådgiveren.
NIST oppfordret i mellomtiden brukere til å oppgradere til Apache Commons Text 1.10.0, som den sa, "deaktiverer de problematiske interpolatorene som standard."
ASF Apache beskriver Commons Text-biblioteket som et tillegg til standard Java Development Kits (JDK) teksthåndtering. Noen 2,588 prosjekter bruker for tiden biblioteket, inkludert noen store som Apache Hadoop Common, Spark Project Core, Apache Velocity og Apache Commons Configuration, ifølge data i Maven Central Java-depotet.
I et råd i dag sa GitHub Security Lab at det var det en av pennetestere som hadde oppdaget feilen og rapporterte den til sikkerhetsteamet ved ASF i mars.
Forskere som har sporet feilen så langt har vært forsiktige i vurderingen av dens potensielle virkning. Den kjente sikkerhetsforskeren Kevin Beaumont lurte i en tweet på mandag om sårbarheten kunne resultere i en potensiell Log4shell-situasjon, med henvisning til den beryktede Log4j-sårbarheten fra slutten av fjoråret.
"Apache Commons-tekst støtter funksjoner som tillater kjøring av kode, i potensielt brukerleverte tekststrenger," sa Beaumont. Men for å utnytte det, må en angriper finne nettapplikasjoner som bruker denne funksjonen som også aksepterer brukerinndata, sa han. "Jeg vil ikke åpne MSPaint ennå, med mindre noen kan finne webapps som bruker denne funksjonen og lar brukerinnspill nå den,» twitret han.
Proof-of-Concept forverrer bekymringene
Forskere fra trusseletterretningsfirmaet GreyNoise fortalte Dark Reading at selskapet var klar over at PoC for CVE-2022-42889 ble tilgjengelig. Ifølge dem er den nye sårbarheten nesten identisk med en ASF annonsert i juli 2022 som også var assosiert med variabel interpolasjon i Commons Text. Den sårbarheten (CVE-2022-33980) ble funnet i Apache Commons Configuration og hadde samme alvorlighetsgrad som den nye feilen.
"Vi er klar over Proof-Of-Concept-kode for CVE-2022-42889 som kan utløse sårbarheten i et bevisst sårbart og kontrollert miljø," sier GreyNoise-forskere. "Vi kjenner ikke til noen eksempler på utbredte applikasjoner i den virkelige verden som bruker Apache Commons Text-biblioteket i en sårbar konfigurasjon som vil tillate angripere å utnytte sårbarheten med brukerkontrollerte data."
GreyNoise fortsetter å overvåke for bevis på "bevis-i-praksis" utnyttelsesaktivitet, la de til.
Jfrog Security sa at det overvåker feilen og så langt ser det ut til at det er sannsynlig at virkningen vil være mindre utbredt enn Log4j. "Ny CVE-2022-42889 i Apache Commons Text ser farlig ut," sa JFrog i en tweet. "Ser ut til å bare påvirke apper som sender angriperkontrollerte strenger til-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()," sa den.
Sikkerhetsleverandøren sa at folk som bruker Java versjon 15 og senere bør være trygge mot kjøring av kode siden skriptinterpolering ikke vil fungere. Men andre potensielle vektorer for å utnytte feilen - via DNS og URL - vil fortsatt fungere, bemerket det.
