Исследователи внимательно следят за новой критической уязвимостью в тексте Apache Commons

Исследователи внимательно отслеживают критическую недавно обнаруженную уязвимость в Apache Commons Text, которая дает злоумышленникам, не прошедшим проверку подлинности, возможность удаленного выполнения кода на серверах, на которых запущены приложения с уязвимым компонентом.

Недостаток (CVE-2022-42889) присвоен рейтинг серьезности 9.8 из возможных 10.0 по шкале CVSS, и он существует в версиях 1.5–1.9 Apache Commons Text. Проверочный код для уязвимости уже доступен, хотя до сих пор не было никаких признаков эксплойта.

Доступна обновленная версия

Фонд программного обеспечения Apache (ASF) выпустил обновленную версию программного обеспечения (Apache Commons Text 1.10.0) 24 сентября, но выпустил консультации по недостатку только в прошлый четверг. В нем Фонд описал недостаток как проистекающий из небезопасных значений по умолчанию, когда Apache Commons Text выполняет интерполяцию переменных, которая в основном представляет собой процесс поиска и оценка строковых значений в коде которые содержат заполнители. «Начиная с версии 1.5 и до версии 1.9 набор экземпляров Lookup по умолчанию включал интерполяторы, которые могли привести к выполнению произвольного кода или контакту с удаленными серверами», — говорится в бюллетене.

Тем временем NIST призвал пользователей перейти на Apache Commons Text 1.10.0, в котором говорится: «отключает проблемные интерполяторы по умолчанию."

ASF Apache описывает библиотеку Commons Text как дополнение к стандартной обработке текста Java Development Kit (JDK). Немного проекты 2,588 в настоящее время используют эту библиотеку, в том числе некоторые основные, такие как Apache Hadoop Common, Spark Project Core, Apache Velocity и Apache Commons Configuration, согласно данным в репозитории Maven Central Java.

В сегодняшнем информационном бюллетене Лаборатория безопасности GitHub заявила, что один из его тестеров пера которая обнаружила ошибку и сообщила о ней команде безопасности ASF в марте.

Исследователи, отслеживающие ошибку, до сих пор были осторожны в оценке ее потенциального воздействия. Известный исследователь безопасности Кевин Бомонт в понедельник написал в Твиттере, что уязвимость может привести к потенциальной ситуации с Log4shell, имея в виду печально известную уязвимость Log4j, появившуюся в конце прошлого года.

«Текст Apache Commons поддерживает функции, которые позволяют выполнять код, в текстовых строках, которые могут быть предоставлены пользователем», — сказал Бомонт. Но для того, чтобы использовать ее, злоумышленнику необходимо найти веб-приложения, использующие эту функцию, которые также принимают пользовательский ввод, сказал он. «Я пока не буду открывать MSPaint, если кто-нибудь не может найти веб-приложения которые используют эту функцию и позволяют вводу данных пользователем достигать ее», — написал он в Твиттере.

Доказательство концепции усугубляет опасения

Исследователи из компании GreyNoise, специализирующейся на анализе угроз, сообщили Dark Reading, что компания знала о появлении PoC для CVE-2022-42889. По их словам, новая уязвимость почти идентична одной ASF, объявленной в июле 2022 года, которая также была связана с интерполяцией переменных в Commons Text. Эта уязвимость (CVE-2022-33980) был обнаружен в конфигурации Apache Commons и имел тот же рейтинг серьезности, что и новая уязвимость.

«Нам известно о коде Proof-Of-Concept для CVE-2022-42889, который может активировать уязвимость в преднамеренно уязвимой и контролируемой среде», — говорят исследователи GreyNoise. «Нам неизвестны какие-либо примеры широко развернутых реальных приложений, использующих библиотеку Apache Commons Text в уязвимой конфигурации, которая позволила бы злоумышленникам использовать уязвимость с данными, контролируемыми пользователем».

Они добавили, что GreyNoise продолжает отслеживать любые свидетельства использования эксплойтов, «доказательных на практике».

Jfrog Security заявила, что отслеживает ошибку, и пока представляется вероятным, что влияние будет менее распространен, чем Log4j. «Новая CVE-2022-42889 в Apache Commons Text выглядит опасной», — написал JFrog в твиттере. «Похоже, это влияет только на приложения, которые передают контролируемые злоумышленником строки в StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()», — говорится в сообщении.

Поставщик безопасности сказал, что люди, использующие Java версии 15 и более поздние, должны быть защищены от выполнения кода, поскольку интерполяция сценариев не будет работать. Но другие потенциальные векторы использования уязвимости — через DNS и URL — по-прежнему будут работать.