Pesquisadores ficam de olho na nova vulnerabilidade crítica no Apache Commons Text

Os pesquisadores estão acompanhando de perto uma vulnerabilidade crítica recém-divulgada no Apache Commons Text que oferece aos invasores não autenticados uma maneira de executar código remotamente em servidores que executam aplicativos com o componente afetado.

A falha (CVE-2022-42889) recebeu uma classificação de gravidade de 9.8 de um possível 10.0 na escala CVSS e existe nas versões 1.5 a 1.9 do Apache Commons Text. O código de prova de conceito para a vulnerabilidade já está disponível, embora até agora não tenha havido nenhum sinal de atividade de exploração.

Versão atualizada disponível

A Apache Software Foundation (ASF) lançou uma versão atualizada do software (Apache Commons Text 1.10.0) em 24 de setembro, mas emitiu um aconselhamento sobre a falha somente na última quinta-feira. Nele, a Fundação descreveu a falha como decorrente de padrões inseguros quando o Apache Commons Text executa a interpolação de variáveis, que basicamente é o processo de pesquisar e avaliando valores de string no código que contêm marcadores de posição. “Começando com a versão 1.5 e continuando até a 1.9, o conjunto de instâncias padrão do Lookup incluía interpoladores que poderiam resultar em execução arbitrária de código ou contato com servidores remotos”, disse o comunicado.

O NIST, por sua vez, pediu aos usuários que atualizassem para o Apache Commons Text 1.10.0, que dizia: “desativa os interpoladores problemáticos por padrão."

O Apache ASF descreve a biblioteca Commons Text como fornecendo adições ao tratamento de texto padrão do Java Development Kit (JDK). Algum projectos 2,588 atualmente usam a biblioteca, incluindo algumas das principais, como Apache Hadoop Common, Spark Project Core, Apache Velocity e Apache Commons Configuration, de acordo com dados no repositório Maven Central Java.

Em um comunicado hoje, o GitHub Security Lab disse que era um de seus testadores de caneta que descobriu o bug e o relatou à equipe de segurança da ASF em março.

Os pesquisadores que rastreiam o bug até agora têm sido cautelosos em sua avaliação de seu impacto potencial. O renomado pesquisador de segurança Kevin Beaumont se perguntou em um tweet na segunda-feira se a vulnerabilidade poderia resultar em uma potencial situação do Log4shell, referindo-se à infame vulnerabilidade do Log4j do final do ano passado.

“Texto do Apache Commons suporta funções que permitem a execução de código, em cadeias de texto potencialmente fornecidas pelo usuário”, disse Beaumont. Mas, para explorá-lo, um invasor precisa encontrar aplicativos da Web usando essa função que também aceite a entrada do usuário, disse ele. “Eu não vou abrir o MSPaint ainda, a menos que alguém possa encontrar webapps que usam essa função e permitem que a entrada fornecida pelo usuário a alcance”, ele twittou.

A prova de conceito exacerba as preocupações

Pesquisadores da empresa de inteligência de ameaças GreyNoise disseram à Dark Reading que a empresa estava ciente da disponibilidade do PoC para CVE-2022-42889. Segundo eles, a nova vulnerabilidade é quase idêntica a uma ASF anunciada em julho de 2022 que também estava associada à interpolação de variáveis ​​no Commons Text. Essa vulnerabilidade (CVE-2022-33980) foi encontrado na configuração do Apache Commons e tinha a mesma classificação de gravidade da nova falha.

“Estamos cientes do código de prova de conceito para CVE-2022-42889 que pode desencadear a vulnerabilidade em um ambiente intencionalmente vulnerável e controlado”, dizem os pesquisadores da GreyNoise. “Não temos conhecimento de nenhum exemplo de aplicativos do mundo real amplamente implantados utilizando a biblioteca Apache Commons Text em uma configuração vulnerável que permitiria que invasores explorassem a vulnerabilidade com dados controlados pelo usuário.”

A GreyNoise continua monitorando qualquer evidência de atividade de exploração “comprovada na prática”, acrescentaram.

A Jfrog Security disse que está monitorando o bug e, até agora, parece provável que o impacto será menos difundido do que Log4j. “Novo CVE-2022-42889 no Apache Commons Text parece perigoso”, disse JFrog em um tweet. “Parece afetar apenas aplicativos que passam strings controladas por invasores para-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()”, disse.

O fornecedor de segurança disse que as pessoas que usam Java versão 15 e posteriores devem estar protegidas da execução de código, pois a interpolação de script não funcionará. Mas outros vetores potenciais para explorar a falha – via DNS e URL – ainda funcionariam, observou.