Cercetătorii țin cu atenție noile vulnerabilități critice din Apache Commons Text

Cercetătorii urmăresc îndeaproape o vulnerabilitate critică, recent dezvăluită în Apache Commons Text, care oferă atacatorilor neautentificați o modalitate de a executa cod de la distanță pe serverele care rulează aplicații cu componenta afectată.

Defectul (CVE-2022-42889) i s-a atribuit o clasare de severitate de 9.8 dintr-un posibil 10.0 pe scara CVSS și există în versiunile 1.5 până la 1.9 ale Apache Commons Text. Codul de probă de concept pentru vulnerabilitate este deja disponibil, deși până acum nu a existat niciun semn de activitate de exploatare.

Versiune actualizată disponibilă

Apache Software Foundation (ASF) a lansat o versiune actualizată a software-ului (Apache Commons Text 1.10.0) pe 24 septembrie, dar a emis un consiliere cu privire la defect abia joia trecută. În ea, Fundația a descris defectul ca decurgând din valorile implicite nesigure atunci când Apache Commons Text realizează interpolarea variabilelor, care în esență este procesul de căutare și evaluarea valorilor șirurilor în cod care conțin substituenți. „Începând cu versiunea 1.5 și continuând până la 1.9, setul de instanțe implicite de căutare a inclus interpolatoare care ar putea duce la execuția arbitrară a codului sau la contactul cu servere la distanță”, se spune în avizul.

NIST, între timp, a îndemnat utilizatorii să facă upgrade la Apache Commons Text 1.10.0, despre care a spus: „dezactivează interpolatorii problematici în mod implicit."

ASF Apache descrie biblioteca Commons Text ca oferind completări la gestionarea textului standard al kit-ului de dezvoltare Java (JDK). niste proiecte 2,588 folosesc în prezent biblioteca, inclusiv unele importante, cum ar fi Apache Hadoop Common, Spark Project Core, Apache Velocity și Apache Commons Configuration, conform datelor din depozitul Maven Central Java.

Într-un aviz de astăzi, GitHub Security Lab a spus că a fost unul dintre testele de stilouri ale sale care a descoperit eroarea și a raportat-o ​​echipei de securitate de la ASF în martie.

Cercetătorii care urmăresc bug-ul până acum au fost precauți în evaluarea impactului său potențial. Renumitul cercetător de securitate Kevin Beaumont s-a întrebat într-un tweet luni dacă vulnerabilitatea ar putea duce la o potențială situație Log4shell, referindu-se la infama vulnerabilitate Log4j de la sfârșitul anului trecut.

„Text Apache Commons suportă funcții care permit executarea codului, în șiruri de text potențial furnizate de utilizator”, a spus Beaumont. Dar pentru a-l exploata, un atacator ar trebui să găsească aplicații web care utilizează această funcție care acceptă și intrarea utilizatorului, a spus el. „Nu voi deschide încă MSPaint, cu excepția cazului în care cineva poate găsi aplicații web care folosesc această funcție și permit intrarea furnizată de utilizator să o ajungă”, a scris el pe Twitter.

Dovada conceptului exacerba îngrijorările

Cercetătorii de la firma GreyNoise de informații despre amenințări au declarat pentru Dark Reading că compania știa că PoC pentru CVE-2022-42889 devine disponibil. Potrivit acestora, noua vulnerabilitate este aproape identică cu o ASF anunțată în iulie 2022, care a fost, de asemenea, asociată cu interpolarea variabilă în Commons Text. Acea vulnerabilitate (CVE-2022-33980) a fost găsit în Apache Commons Configuration și a avut aceeași evaluare de severitate ca și noul defect.

„Suntem conștienți de codul Proof-Of-Concept pentru CVE-2022-42889 care poate declanșa vulnerabilitatea într-un mediu intenționat vulnerabil și controlat”, spun cercetătorii GreyNoise. „Nu cunoaștem exemple de aplicații din lumea reală implementate pe scară largă care să utilizeze biblioteca Apache Commons Text într-o configurație vulnerabilă care să permită atacatorilor să exploateze vulnerabilitatea cu date controlate de utilizator.”

GreyNoise continuă să monitorizeze orice dovadă de activitate de exploatare „dovadă în practică”, au adăugat ei.

Jfrog Security a spus că monitorizează bug-ul și, până acum, pare probabil ca impactul va fi mai puțin răspândită decât Log4j. „Noul CVE-2022-42889 în Apache Commons Text pare periculos”, a spus JFrog într-un tweet. „Se pare că afectează doar aplicațiile care transmit șiruri controlate de atacator către-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup(),” se spunea.

Furnizorul de securitate a spus că persoanele care folosesc Java versiunea 15 și ulterioară ar trebui să fie ferite de execuția codului, deoarece interpolarea scriptului nu va funcționa. Dar alți vectori potențiali pentru exploatarea defectului - prin DNS și URL - ar funcționa în continuare, a menționat.