Các nhà nghiên cứu đang theo dõi chặt chẽ một lỗ hổng quan trọng, mới được tiết lộ trong Apache Commons Text.
Lỗ hổng (CVE-2022-42889) đã được chỉ định xếp hạng mức độ nghiêm trọng là 9.8 trong số 10.0 có thể có trên thang điểm CVSS và tồn tại trong các phiên bản từ 1.5 đến 1.9 của Apache Commons Text. Mã Proof-of-concept cho lỗ hổng đã có sẵn, mặc dù cho đến nay vẫn chưa có dấu hiệu nào về hoạt động khai thác.
Phiên bản cập nhật có sẵn
Tổ chức phần mềm Apache (ASF) phát hành một phiên bản cập nhật của phần mềm (Apache Commons Text 1.10.0) vào ngày 24 tháng XNUMX nhưng đã phát hành tư vấn về lỗ hổng chỉ thứ Năm tuần trước. Trong đó, Tổ chức mô tả lỗ hổng xuất phát từ các mặc định không an toàn khi Apache Commons Text thực hiện nội suy biến, về cơ bản là quá trình tìm kiếm và đánh giá các giá trị chuỗi trong mã có chứa trình giữ chỗ. “Bắt đầu với phiên bản 1.5 và tiếp tục đến 1.9, tập hợp các phiên bản Tra cứu mặc định bao gồm các bộ nội suy có thể dẫn đến việc thực thi mã tùy ý hoặc liên hệ với các máy chủ từ xa,” tư vấn cho biết.
Trong khi đó, NIST kêu gọi người dùng nâng cấp lên Apache Commons Text 1.10.0, nó cho biết “vô hiệu hóa các bộ nội suy có vấn đề theo mặc định. ”
ASF Apache mô tả thư viện Commons Text cung cấp các bổ sung cho việc xử lý văn bản của Bộ phát triển Java (JDK) tiêu chuẩn. Một số dự án 2,588 hiện đang sử dụng thư viện, bao gồm một số thư viện chính như Apache Hadoop Common, Spark Project Core, Apache Velocity và Apache Commons Configuration, theo dữ liệu trong kho lưu trữ Maven Central Java.
Trong một lời khuyên ngày hôm nay, Phòng thí nghiệm bảo mật GitHub cho biết họ đã một trong những người kiểm tra bút của nó đã phát hiện ra lỗi và báo cáo nó cho nhóm bảo mật tại ASF vào tháng XNUMX.
Các nhà nghiên cứu theo dõi lỗi cho đến nay vẫn thận trọng trong việc đánh giá tác động tiềm tàng của nó. Nhà nghiên cứu bảo mật nổi tiếng Kevin Beaumont đã tự hỏi trong một tweet vào thứ Hai rằng liệu lỗ hổng có thể dẫn đến tình huống Log4shell tiềm năng hay không, đề cập đến lỗ hổng Log4j khét tiếng từ cuối năm ngoái.
“Văn bản Apache Commons hỗ trợ các chức năng cho phép thực thi mã, trong các chuỗi văn bản do người dùng tiềm năng cung cấp, ”Beaumont nói. Nhưng để khai thác nó, kẻ tấn công sẽ cần tìm các ứng dụng Web sử dụng chức năng này cũng chấp nhận đầu vào của người dùng, ông nói. “Tôi sẽ không mở MSPaint, trừ khi ai đó có thể tìm thấy các ứng dụng web sử dụng chức năng này và cho phép đầu vào do người dùng cung cấp tiếp cận nó, ”anh ấy đã tweet.
Proof-of-Concept làm trầm trọng thêm mối quan tâm
Các nhà nghiên cứu từ công ty tình báo mối đe dọa GreyNoise nói với Dark Reading rằng công ty đã biết về PoC cho CVE-2022-42889 sắp có sẵn. Theo họ, lỗ hổng mới gần giống với một ASF được công bố vào tháng 2022 năm XNUMX cũng được liên kết với phép nội suy biến trong Commons Text. Lỗ hổng đó (CVE-2022-33980) được tìm thấy trong Apache Commons Configuration và có cùng mức độ nghiêm trọng với lỗ hổng mới.
Các nhà nghiên cứu của GreyNoise cho biết: “Chúng tôi biết mã Proof-Of-Concept cho CVE-2022-42889 có thể kích hoạt lỗ hổng bảo mật trong một môi trường có chủ đích dễ bị tổn thương và được kiểm soát. “Chúng tôi không biết về bất kỳ ví dụ nào về các ứng dụng trong thế giới thực được triển khai rộng rãi sử dụng thư viện Apache Commons Text trong một cấu hình dễ bị tấn công cho phép kẻ tấn công khai thác lỗ hổng bằng dữ liệu do người dùng kiểm soát.”
GreyNoise đang tiếp tục theo dõi bất kỳ bằng chứng nào về hoạt động khai thác “bằng chứng trong thực tế”, họ nói thêm.
Jfrog Security cho biết họ đang theo dõi lỗi và cho đến nay, có vẻ như tác động sẽ ít phổ biến hơn Log4j. “CVE-2022-42889 mới trong Apache Commons Text có vẻ nguy hiểm,” JFrog nói trong một tweet. Nó cho biết: “Có vẻ như chỉ ảnh hưởng đến các ứng dụng chuyển các chuỗi do kẻ tấn công kiểm soát đến StringLookupFactory.INSTANCE.interpolatorStringLookup (). Lookup ().
Nhà cung cấp bảo mật cho biết những người sử dụng Java phiên bản 15 trở lên sẽ an toàn khỏi việc thực thi mã vì nội suy tập lệnh sẽ không hoạt động. Nhưng các vectơ tiềm năng khác để khai thác lỗ hổng - thông qua DNS và URL - vẫn sẽ hoạt động, nó lưu ý.
