Araştırmacılar, Apache Commons Text'te kimliği doğrulanmamış saldırganlara, etkilenen bileşenle uygulamaları çalıştıran sunucularda uzaktan kod yürütme olanağı sağlayan, yeni açıklanan kritik bir güvenlik açığını yakından takip ediyor.
Kusur (CVE-2022-42889) CVSS ölçeğinde olası 9.8 üzerinden 10.0'lik bir önem derecesine sahiptir ve Apache Commons Text'in 1.5 ila 1.9 sürümlerinde mevcuttur. Bu güvenlik açığına ilişkin kavram kanıtı kodu zaten mevcut ancak şu ana kadar herhangi bir istismar etkinliğine dair bir işaret bulunmuyor.
Güncellenmiş Sürüm Mevcut
Apache Yazılım Vakfı (ASF) güncellenmiş bir sürüm yayınladı yazılımın (Apache Commons Text 1.10.0) 24 Eylül'de yayınlanmasına rağmen kusurlu danışma sadece geçen perşembe. Bu belgede Vakıf, kusurun Apache Commons Text'in temel olarak arama ve tarama işlemi olan değişken enterpolasyonu gerçekleştirmesi sırasındaki güvenli olmayan varsayılanlardan kaynaklandığını açıkladı. koddaki dize değerlerini değerlendirme yer tutucular içeren. Danışma belgesinde, "Sürüm 1.5'ten başlayıp 1.9'a kadar devam eden varsayılan Arama örnekleri kümesi, keyfi kod yürütülmesine veya uzak sunucularla iletişime geçilmesine neden olabilecek enterpolatörler içeriyordu" dedi.
Bu arada NIST, kullanıcıları Apache Commons Text 1.10.0'a yükseltmeye çağırdı ve şunları söyledi: "sorunlu enterpolatörleri devre dışı bırakır varsayılan olarak."
ASF Apache, Commons Text kütüphanesini, standart Java Development Kit'in (JDK) metin işlemesine eklemeler sağlayan bir şey olarak tanımlar. Bazı 2,588 projeleri Maven Central Java deposundaki verilere göre şu anda Apache Hadoop Common, Spark Project Core, Apache Velocity ve Apache Commons Configuration gibi bazı önemli kütüphaneler de dahil olmak üzere kütüphaneyi kullanıyor.
Bugün bir danışma belgesinde GitHub Güvenlik Laboratuvarı şunu söyledi: kalem test cihazlarından biri hatayı keşfeden ve bunu Mart ayında ASF'deki güvenlik ekibine bildiren şirket.
Şu ana kadar hatayı takip eden araştırmacılar, potansiyel etkisine ilişkin değerlendirmelerinde temkinli davrandılar. Tanınmış güvenlik araştırmacısı Kevin Beaumont, Pazartesi günü attığı bir tweet'te, geçen yılın sonlarında ortaya çıkan meşhur Log4j güvenlik açığına atıfta bulunarak, güvenlik açığının potansiyel bir Log4shell durumuyla sonuçlanıp sonuçlanmayacağını merak etti.
“Apache Commons Metni kod yürütülmesine izin veren işlevleri desteklerBeaumont, potansiyel olarak kullanıcı tarafından sağlanan metin dizelerinde "dedi. Ancak bir saldırganın bundan yararlanabilmesi için, bu işlevi kullanan, aynı zamanda kullanıcı girişini de kabul eden Web uygulamaları bulması gerektiğini söyledi. “Henüz MSPaint'i açmayacağım, kimse webapps bulamazsa Bu işlevi kullanan ve kullanıcı tarafından sağlanan girdinin buna erişmesine izin veren," diye tweet attı.
Kavram Kanıtı Endişeleri Artırıyor
Tehdit istihbaratı firması GreyNoise'dan araştırmacılar Dark Reading'e şirketin CVE-2022-42889 için PoC'nin kullanıma sunulacağının farkında olduğunu söyledi. Onlara göre yeni güvenlik açığı, Temmuz 2022'de açıklanan ve aynı zamanda Commons Text'teki değişken enterpolasyonla ilişkilendirilen bir ASF ile neredeyse aynı. Bu güvenlik açığı (CVE-2022-33980) Apache Commons Yapılandırmasında bulundu ve yeni kusurla aynı önem derecesine sahipti.
GreyNoise araştırmacıları, "Kasıtlı olarak savunmasız ve kontrollü bir ortamda güvenlik açığını tetikleyebilecek CVE-2022-42889 için Konsept Kanıtı kodunun farkındayız" diyor. "Apache Commons Text kütüphanesini, saldırganların güvenlik açığından kullanıcı tarafından kontrol edilen verilerle yararlanmasına olanak sağlayacak şekilde güvenlik açığı bulunan bir yapılandırmada kullanan, yaygın olarak dağıtılan gerçek dünya uygulamalarına ilişkin herhangi bir örneğin farkında değiliz."
GreyNoise'un "uygulamada kanıt" istismar etkinliğine dair herhangi bir kanıt olup olmadığını izlemeye devam ettiğini eklediler.
Jfrog Security, hatayı izlediğini ve şu ana kadar etkinin muhtemel göründüğünü söyledi. Log4j'den daha az yaygın olacak. JFrog bir tweet'te "Apache Commons Text'teki yeni CVE-2022-42889 tehlikeli görünüyor" dedi. "Yalnızca saldırgan tarafından kontrol edilen dizeleri -StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()'a ileten uygulamaları etkiliyor gibi görünüyor" dedi.
Güvenlik satıcısı, Java sürüm 15 ve sonraki sürümlerini kullanan kişilerin, komut dosyası enterpolasyonu işe yaramayacağından kod yürütmeye karşı güvende olması gerektiğini söyledi. Ancak kusurdan yararlanmaya yönelik diğer potansiyel vektörlerin (DNS ve URL aracılığıyla) yine de işe yarayacağı belirtildi.
