Forskare följer noga en kritisk, nyligen avslöjad sårbarhet i Apache Commons Text som ger oautentiserade angripare ett sätt att exekvera kod på distans på servrar som kör applikationer med den berörda komponenten.
Felet (CVE-2022-42889) har tilldelats en svårighetsgrad på 9.8 av möjliga 10.0 på CVSS-skalan och finns i version 1.5 till 1.9 av Apache Commons Text. Proof-of-concept-kod för sårbarheten är redan tillgänglig, men hittills har det inte funnits några tecken på exploateringsaktivitet.
Uppdaterad version tillgänglig
Apache Software Foundation (ASF) släppt en uppdaterad version av programvaran (Apache Commons Text 1.10.0) den 24 september men utfärdade en rådgivande om bristen bara i torsdags. I den beskrev Foundation felet som ett resultat av osäkra standardinställningar när Apache Commons Text utför variabel interpolation, vilket i grunden är processen att slå upp och utvärdera strängvärden i kod som innehåller platshållare. "Från och med version 1.5 och fortsätter till och med 1.9, inkluderade uppsättningen av standarduppslagsinstanser interpolatorer som kan resultera i exekvering av godtycklig kod eller kontakt med fjärrservrar," sade rådgivaren.
NIST uppmanade samtidigt användarna att uppgradera till Apache Commons Text 1.10.0, som det sa, "inaktiverar de problematiska interpolatorerna som standard."
ASF Apache beskriver Commons Text-biblioteket som tillägg till standard Java Development Kits (JDK) texthantering. Några 2,588 projekt använder för närvarande biblioteket, inklusive några större som Apache Hadoop Common, Spark Project Core, Apache Velocity och Apache Commons Configuration, enligt data i Maven Central Java-förvaret.
I ett råd idag sa GitHub Security Lab att det var det en av dess penntestare som hade upptäckt felet och rapporterat det till säkerhetsteamet på ASF i mars.
Forskare som spårat buggen hittills har varit försiktiga i sin bedömning av dess potentiella påverkan. Den noterade säkerhetsforskaren Kevin Beaumont undrade i en tweet på måndagen om sårbarheten kunde resultera i en potentiell Log4shell-situation, med hänvisning till den ökända Log4j-sårbarheten från slutet av förra året.
"Apache Commons-text stöder funktioner som tillåter exekvering av kod, i potentiellt användarlevererade textsträngar”, sa Beaumont. Men för att kunna utnyttja det skulle en angripare behöva hitta webbapplikationer som använder den här funktionen som också accepterar användarinput, sa han. "Jag kommer inte att öppna upp MSPaint än, såvida inte någon kan hitta webbappar som använder den här funktionen och låter användarens indata nå den”, twittrade han.
Proof-of-Concept förvärrar bekymmer
Forskare från hotintelligensföretaget GreyNoise berättade för Dark Reading att företaget var medvetet om att PoC för CVE-2022-42889 skulle bli tillgänglig. Enligt dem är den nya sårbarheten nästan identisk med en ASF som tillkännagavs i juli 2022 som också var associerad med variabel interpolation i Commons Text. Den sårbarheten (CVE-2022-33980) hittades i Apache Commons Configuration och hade samma svårighetsgrad som det nya felet.
"Vi är medvetna om Proof-Of-Concept-kod för CVE-2022-42889 som kan utlösa sårbarheten i en avsiktligt sårbar och kontrollerad miljö", säger GreyNoise-forskare. "Vi är inte medvetna om några exempel på brett utplacerade verkliga applikationer som använder Apache Commons Text-biblioteket i en sårbar konfiguration som skulle tillåta angripare att utnyttja sårbarheten med användarkontrollerad data."
GreyNoise fortsätter att övervaka eventuella bevis på "bevis-i-praktisk" exploateringsaktivitet, tillade de.
Jfrog Security sa att det övervakar buggen och hittills verkar det troligt att effekten kommer att vara mindre utbredd än Log4j. "Ny CVE-2022-42889 i Apache Commons Text ser farlig ut", sa JFrog i en tweet. "Tyckes bara påverka appar som skickar angriparkontrollerade strängar till-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()", stod det.
Säkerhetsleverantören sa att personer som använder Java version 15 och senare borde vara säkra från kodexekvering eftersom skriptinterpolering inte kommer att fungera. Men andra potentiella vektorer för att utnyttja felet - via DNS och URL - skulle fortfarande fungera, noterades.
