นักวิจัยจับตาดูช่องโหว่ใหม่ที่สำคัญใน Apache Commons Text

นักวิจัยกำลังติดตามช่องโหว่ที่สำคัญและเพิ่งเปิดเผยใน Apache Commons Text อย่างใกล้ชิด ซึ่งช่วยให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์มีวิธีรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ที่รันแอปพลิเคชันที่มีส่วนประกอบที่ได้รับผลกระทบ

ข้อบกพร่อง (CVE-2022-42889) ได้รับการจัดอันดับความรุนแรงที่ 9.8 จาก 10.0 ที่เป็นไปได้ในระดับ CVSS และมีอยู่ในเวอร์ชัน 1.5 ถึง 1.9 ของ Apache Commons Text รหัสพิสูจน์แนวคิดสำหรับช่องโหว่มีอยู่แล้ว แม้ว่าจนถึงขณะนี้ยังไม่มีสัญญาณของกิจกรรมการหาประโยชน์

เวอร์ชันที่อัปเดตพร้อมใช้งาน

มูลนิธิซอฟต์แวร์ Apache (ASF) ออกเวอร์ชันปรับปรุง ของซอฟต์แวร์ (Apache Commons Text 1.10.0) เมื่อวันที่ 24 กันยายน แต่ออก an ปรึกษาข้อบกพร่อง เฉพาะวันพฤหัสบดีที่แล้ว ในนั้น มูลนิธิได้อธิบายข้อบกพร่องดังกล่าวว่าเกิดจากค่าเริ่มต้นที่ไม่ปลอดภัยเมื่อ Apache Commons Text ดำเนินการแก้ไขตัวแปร ซึ่งโดยพื้นฐานแล้วเป็นกระบวนการค้นหาและ การประเมินค่าสตริงในโค้ด ที่มีตัวยึดตำแหน่ง “เริ่มต้นด้วยเวอร์ชัน 1.5 และต่อเนื่องไปจนถึง 1.9 ชุดของอินสแตนซ์การค้นหาเริ่มต้นรวมถึงตัวแก้ไขที่อาจส่งผลให้มีการใช้รหัสโดยอำเภอใจหรือติดต่อกับเซิร์ฟเวอร์ระยะไกล” คำแนะนำกล่าว

ในขณะเดียวกัน NIST ได้กระตุ้นให้ผู้ใช้อัปเกรดเป็น Apache Commons Text 1.10.0 ซึ่งกล่าวว่า “ปิดการใช้งาน interpolators ที่มีปัญหา โดยค่าเริ่มต้น."

ASF Apache อธิบายไลบรารี Commons Text ว่าเป็นส่วนเพิ่มเติมในการจัดการข้อความของ Java Development Kit (JDK) มาตรฐาน บาง โครงการ 2,588 ปัจจุบันใช้ไลบรารี่ รวมถึงไลบรารี่ที่สำคัญๆ เช่น Apache Hadoop Common, Spark Project Core, Apache Velocity และ Apache Commons Configuration ตามข้อมูลในที่เก็บ Maven Central Java

ในการให้คำปรึกษาวันนี้ GitHub Security Lab กล่าวว่ามันคือ หนึ่งในเครื่องทดสอบปากกา ที่ตรวจพบจุดบกพร่องและรายงานไปยังทีมรักษาความปลอดภัยที่ ASF ในเดือนมีนาคม

นักวิจัยที่ติดตามบั๊กจนถึงตอนนี้ได้ระมัดระวังในการประเมินผลกระทบที่อาจเกิดขึ้น นักวิจัยด้านความปลอดภัย Kevin Beaumont ตั้งข้อสังเกตในทวีตเมื่อวันจันทร์ว่าช่องโหว่นี้อาจส่งผลให้เกิดสถานการณ์ Log4shell ที่อาจเกิดขึ้นโดยอ้างถึงช่องโหว่ Log4j ที่น่าอับอายจากปลายปีที่แล้ว

“ข้อความ Apache Commons รองรับฟังก์ชันที่อนุญาตให้เรียกใช้โค้ดได้ในสตริงข้อความที่ผู้ใช้อาจให้มา” โบมอนต์กล่าว แต่เพื่อที่จะใช้ประโยชน์จากมัน ผู้โจมตีจะต้องค้นหาเว็บแอปพลิเคชันที่ใช้ฟังก์ชันนี้ซึ่งยอมรับการป้อนข้อมูลของผู้ใช้ด้วย เขากล่าว “ฉันจะไม่เปิด MSPaint ยัง เว้นแต่จะมีใครสามารถหาเว็บแอปได้ ที่ใช้ฟังก์ชันนี้และอนุญาตให้ผู้ใช้ป้อนข้อมูลเข้าถึงได้” เขาทวีต

การพิสูจน์แนวคิดทำให้เกิดความกังวลมากขึ้น

นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม GreyNoise บอกกับ Dark Reading ว่าบริษัททราบถึง PoC สำหรับ CVE-2022-42889 ที่พร้อมใช้งาน ช่องโหว่ใหม่นี้เกือบจะเหมือนกับ ASF ที่ประกาศในเดือนกรกฎาคม พ.ศ. 2022 ซึ่งเกี่ยวข้องกับการแก้ไขตัวแปรใน Commons Text ช่องโหว่นั้น (CVE-2022-33980) พบใน Apache Commons Configuration และมีระดับความรุนแรงเท่ากับข้อบกพร่องใหม่

"เราตระหนักถึงรหัส Proof-of-Concept สำหรับ CVE-2022-42889 ที่สามารถกระตุ้นช่องโหว่ในสภาพแวดล้อมที่มีช่องโหว่และมีการควบคุมโดยเจตนา" นักวิจัย GreyNoise กล่าว “เราไม่ทราบถึงตัวอย่างใด ๆ ของแอพพลิเคชั่นในโลกแห่งความเป็นจริงที่ใช้กันอย่างแพร่หลายโดยใช้ไลบรารี Apache Commons Text ในการกำหนดค่าที่มีช่องโหว่ซึ่งจะทำให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่ด้วยข้อมูลที่ควบคุมโดยผู้ใช้”

GreyNoise ยังคงตรวจสอบหลักฐานของกิจกรรมการหาประโยชน์แบบ "พิสูจน์ในทางปฏิบัติ" ต่อไป

Jfrog Security กล่าวว่ากำลังตรวจสอบข้อบกพร่องและจนถึงขณะนี้ดูเหมือนว่าจะมีผลกระทบ จะแพร่หลายน้อยกว่า Log4j. “ใหม่ CVE-2022-42889 ใน Apache Commons Text ดูอันตราย” JFrog กล่าวในทวีต “ดูเหมือนว่าจะมีผลกับแอปที่ส่งสตริงที่ควบคุมโดยผู้โจมตีไปยัง-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()” เท่านั้น

ผู้จำหน่ายความปลอดภัยกล่าวว่าผู้ที่ใช้ Java เวอร์ชัน 15 และใหม่กว่าควรปลอดภัยจากการเรียกใช้โค้ด เนื่องจากการแก้ไขสคริปต์จะไม่ทำงาน แต่เวกเตอร์ที่เป็นไปได้อื่นๆ สำหรับการใช้ประโยชน์จากข้อบกพร่อง — ผ่าน DNS และ URL — ยังคงใช้งานได้