Raziskovalci pozorno spremljajo kritično novo ranljivost v besedilu Apache Commons

Raziskovalci pozorno spremljajo kritično, na novo razkrito ranljivost v Apache Commons Text, ki neoverjenim napadalcem omogoča oddaljeno izvajanje kode na strežnikih, na katerih se izvajajo aplikacije s prizadeto komponento.

Napaka (CVE-2022-42889) mu je bila dodeljena stopnja resnosti 9.8 od možnih 10.0 na lestvici CVSS in obstaja v različicah od 1.5 do 1.9 Apache Commons Text. Koda za dokaz koncepta za ranljivost je že na voljo, čeprav do zdaj ni bilo znakov izkoriščanja.

Na voljo posodobljena različica

The Apache Software Foundation (ASF) izdal posodobljeno različico programske opreme (Apache Commons Text 1.10.0) 24. septembra, vendar je izdal svetovanje o pomanjkljivosti šele prejšnji četrtek. Fundacija je v njem opisala napako, ki izhaja iz nevarnih privzetih nastavitev, ko Apache Commons Text izvaja spremenljivo interpolacijo, ki je v bistvu postopek iskanja in vrednotenje vrednosti nizov v kodi that contain placeholders. “Starting with version 1.5 and continuing through 1.9, the set of default Lookup instances included interpolators that could result in arbitrary code execution or contact with remote servers,” the advisory said.

NIST, meanwhile, urged users to upgrade to Apache Commons Text 1.10.0, which it said, “onemogoči problematične interpolatorje by default.”

The ASF Apache describes the Commons Text library as providing additions to the standard Java Development Kit’s (JDK) text handling. Some Projekti 2,588 trenutno uporabljajo knjižnico, vključno z nekaterimi večjimi, kot so Apache Hadoop Common, Spark Project Core, Apache Velocity in Apache Commons Configuration, glede na podatke v repozitoriju Maven Central Java.

V današnjem svetovanju je GitHub Security Lab dejal, da je enega od njegovih testerjev peres ki je odkril hrošč in ga marca prijavil varnostni skupini pri ASF.

Raziskovalci, ki so doslej spremljali napako, so bili previdni pri oceni njenega možnega vpliva. Znani varnostni raziskovalec Kevin Beaumont se je v ponedeljkovem tvitu spraševal, ali bi ranljivost lahko povzročila potencialno situacijo Log4shell, pri čemer se je skliceval na zloglasno ranljivost Log4j s konca lanskega leta.

“Apache Commons Text podpira funkcije, ki omogočajo izvajanje kode, in potentially user supplied text strings,” Beaumont said. But in order to exploit it, an attacker would need to find Web applications using this function that also accept user input, he said. “I won’t be opening up MSPaint yet, razen če kdo najde spletne aplikacije that use this function and allow user supplied input to reach it,” he tweeted.

Dokaz koncepta še povečuje zaskrbljenost

Raziskovalci iz podjetja GreyNoise za obveščanje o grožnjah so za Dark Reading povedali, da je podjetje vedelo, da postaja PoC za CVE-2022-42889 na voljo. Po njihovem mnenju je nova ranljivost skoraj enaka eni ASF, objavljeni julija 2022, ki je bila prav tako povezana s spremenljivo interpolacijo v Commons Text. Ta ranljivost (CVE-2022-33980) je bil najden v konfiguraciji Apache Commons in je imel enako stopnjo resnosti kot nova napaka.

“We are aware of Proof-Of-Concept code for CVE-2022-42889 that can trigger the vulnerability in an intentionally vulnerable and controlled environment,” GreyNoise researchers say. “We are not aware of any examples of widely deployed real-world applications utilizing the Apache Commons Text library in a vulnerable configuration that would allow attackers to exploit the vulnerability with user-controlled data.”

GreyNoise is continuing to monitor for any evidence of “proof-in-practice” exploit activity, they added.

Jfrog Security je dejal, da spremlja hrošča in zaenkrat se zdi verjetno, da bo vpliv bo manj razširjen kot Log4j. “New CVE-2022-42889 in Apache Commons Text looks dangerous,” JFrog said in a tweet. “Seems to only affect apps that pass attacker-controlled strings to-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup(),” it said.

The security vendor said people using Java version 15 and later should be safe from code execution since script interpolation won’t work. But other potential vectors for exploiting the flaw — via DNS and URL — would still work, it noted.