Дослідники уважно відстежують критичну нещодавно виявлену вразливість у Apache Commons Text, яка дає неавтентифікованим зловмисникам можливість віддалено виконувати код на серверах, на яких запущені програми з ураженим компонентом.
Недолік (CVE-2022-42889) отримав рейтинг серйозності 9.8 із можливих 10.0 за шкалою CVSS і існує у версіях Apache Commons Text від 1.5 до 1.9. Код підтвердження концепції вразливості вже доступний, хоча наразі не було жодних ознак експлойту.
Доступна оновлена версія
Apache Software Foundation (ASF) випустила оновлену версію програмного забезпечення (Apache Commons Text 1.10.0) 24 вересня, але видав консультація щодо недоліку лише минулого четверга. У ньому Фонд описав недолік як такий, що походить від небезпечних значень за замовчуванням, коли Apache Commons Text виконує змінну інтерполяцію, яка в основному є процесом пошуку та оцінка рядкових значень у коді які містять заповнювачі. «Починаючи з версії 1.5 і закінчуючи 1.9, набір типових екземплярів Lookup включав інтерполятори, які могли призвести до виконання довільного коду або контакту з віддаленими серверами», — йдеться в повідомленні.
Тим часом NIST закликав користувачів оновити Apache Commons Text 1.10.0, про що йдеться:вимикає проблемні інтерполятори за замовчуванням."
ASF Apache описує текстову бібліотеку Commons як доповнення до обробки тексту стандартного Java Development Kit (JDK). Деякі проекти 2,588 наразі використовують бібліотеку, включаючи деякі основні, такі як Apache Hadoop Common, Spark Project Core, Apache Velocity та Apache Commons Configuration, згідно з даними в репозиторії Maven Central Java.
У сьогоднішньому повідомленні лабораторія безпеки GitHub заявила, що так один із тестувальників пера яка виявила помилку та повідомила про неї групі безпеки ASF у березні.
Дослідники, які досі відстежували цю помилку, були обережні в оцінці її потенційного впливу. Відомий дослідник безпеки Кевін Бомонт запитав у твіті в понеділок, чи може вразливість призвести до потенційної ситуації з Log4shell, посилаючись на сумнозвісну вразливість Log4j з кінця минулого року.
«Текст Apache Commons підтримує функції, які дозволяють виконувати коду потенційно наданих користувачем текстових рядках», — сказав Бомонт. Але для того, щоб скористатися цією функцією, зловмиснику потрібно буде знайти веб-додатки за допомогою цієї функції, які також приймають дані користувача, сказав він. «Я ще не буду відкривати MSPaint, якщо ніхто не зможе знайти веб-програми які використовують цю функцію та дозволяють доступ до неї введеними користувачами», — написав він у Twitter.
Підтвердження концепції посилює занепокоєння
Дослідники з фірми з аналізу загроз GreyNoise повідомили Dark Reading, що компанія знала про доступність PoC для CVE-2022-42889. За їх словами, нова вразливість майже ідентична одній ASF, оголошеній у липні 2022 року, яка також була пов’язана з інтерполяцією змінних у Commons Text. Ця вразливість (CVE-2022-33980) було знайдено в конфігурації Apache Commons і мало той самий рівень серйозності, що й нова вада.
«Нам відомий код Proof-Of-Concept для CVE-2022-42889, який може викликати вразливість у навмисно вразливому та контрольованому середовищі», — кажуть дослідники GreyNoise. «Нам невідомо жодних прикладів широкого розгортання реальних програм, які використовують бібліотеку Apache Commons Text у вразливій конфігурації, яка дозволила б зловмисникам використовувати вразливість з даними, контрольованими користувачем».
Вони додали, що GreyNoise продовжує стежити за будь-якими доказами «перевіреної на практиці» експлойт-активності.
Jfrog Security повідомила, що відслідковує помилку, і поки що здається ймовірним, що вплив буде менш поширеним, ніж Log4j. «Новий CVE-2022-42889 у Apache Commons Text виглядає небезпечно», — написав JFrog у Twitter. «Схоже, впливає лише на програми, які передають контрольовані зловмисником рядки до-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()», – йдеться в повідомленні.
Постачальник безпеки сказав, що люди, які використовують Java версії 15 і новішої, повинні бути захищені від виконання коду, оскільки інтерполяція сценаріїв не працюватиме. Але інші потенційні вектори використання вади — через DNS і URL — все одно працюватимуть, зазначається.
