I ricercatori stanno monitorando da vicino una vulnerabilità critica, recentemente rivelata in Apache Commons Text, che offre agli aggressori non autenticati un modo per eseguire codice in remoto sui server che eseguono applicazioni con il componente interessato.
Al difetto (CVE-2022-42889) è stato assegnato un grado di gravità di 9,8 su un possibile 10,0 sulla scala CVSS ed è presente nelle versioni da 1.5 a 1.9 di Apache Commons Text. È già disponibile un codice proof-of-concept per la vulnerabilità, sebbene finora non vi siano stati segni di attività di exploit.
Versione aggiornata disponibile
La Apache Software Foundation (ASF) ha rilasciato una versione aggiornata del software (Apache Commons Text 1.10.0) il 24 settembre, ma solo giovedì scorso ha emesso un avviso sul difetto. In esso, la Fondazione ha descritto il difetto come derivante da impostazioni predefinite non sicure quando Apache Commons Text esegue l’interpolazione di variabili, che fondamentalmente è il processo di ricerca e valutazione dei valori di stringa nel codice che contengono segnaposto. “A partire dalla versione 1.5 e continuando fino alla 1.9, il set di istanze di ricerca predefinite includeva interpolatori che potevano comportare l’esecuzione di codice arbitrario o il contatto con server remoti”, afferma l’avviso.
Il NIST, nel frattempo, ha esortato gli utenti a eseguire l’aggiornamento ad Apache Commons Text 1.10.0, che ha affermato che “disabilita gli interpolatori problematici per impostazione predefinita”.
L’ASF Apache descrive la libreria Commons Text come un’aggiunta alla gestione del testo standard del Java Development Kit (JDK). Circa 2.588 progetti attualmente utilizzano la libreria, inclusi alcuni dei principali come Apache Hadoop Common, Spark Project Core, Apache Velocity e Apache Commons Configuration, secondo i dati nel repository Maven Central Java.
In un avviso di oggi, GitHub Security Lab ha affermato di essere stato uno dei suoi pen tester ad aver scoperto il bug e a segnalarlo al team di sicurezza di ASF a marzo.
I ricercatori che hanno monitorato il bug finora sono stati cauti nella valutazione del suo potenziale impatto. Il noto ricercatore di sicurezza Kevin Beaumont si è chiesto lunedì in un tweet se la vulnerabilità potesse comportare una potenziale situazione di Log4shell, riferendosi alla famigerata vulnerabilità di Log4j della fine dello scorso anno.
“Testo Apache Commons supporta funzioni che consentono l’esecuzione di codicein stringhe di testo potenzialmente fornite dall’utente”, ha affermato Beaumont. Ma per sfruttarlo, un utente malintenzionato dovrebbe trovare applicazioni Web che utilizzino questa funzione che accetti anche l’input dell’utente, ha affermato. “Non aprirò ancora MSPaint, a meno che qualcuno non riesca a trovare webapps che utilizzano questa funzione e consentono all’input fornito dall’utente di raggiungerla”, ha twittato.
La prova di concetto esacerba le preoccupazioni
I ricercatori della società di intelligence sulle minacce GreyNoise hanno detto a Dark Reading che la società era a conoscenza della disponibilità di PoC per CVE-2022-42889. Secondo loro, la nuova vulnerabilità è quasi identica a una ASF annunciata nel luglio 2022 che era anche associata all’interpolazione di variabili in Commons Text. Tale vulnerabilità (CVE-2022-33980) è stata rilevata nella configurazione di Apache Commons e aveva lo stesso livello di gravità del nuovo difetto.
“Siamo a conoscenza del codice Proof-Of-Concept per CVE-2022-42889 che può attivare la vulnerabilità in un ambiente intenzionalmente vulnerabile e controllato”, affermano i ricercatori di GreyNoise. “Non siamo a conoscenza di esempi di applicazioni reali ampiamente distribuite che utilizzino la libreria Apache Commons Text in una configurazione vulnerabile che consentirebbe agli aggressori di sfruttare la vulnerabilità con dati controllati dall’utente”.
GreyNoise sta continuando a monitorare eventuali prove di attività di exploit “prova nella pratica”, hanno aggiunto.
Jfrog Security ha affermato che sta monitorando il bug e finora sembra probabile che l’impatto sarà meno diffuso di Log4j. “Il nuovo CVE-2022-42889 in Apache Commons Text sembra pericoloso”, ha detto JFrog in un tweet. “Sembra interessare solo le app che passano le stringhe controllate dagli aggressori a-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()”, ha affermato.
Il fornitore di sicurezza ha affermato che le persone che utilizzano Java versione 15 e successive dovrebbero essere al sicuro dall’esecuzione di codice poiché l’interpolazione degli script non funzionerà. Ma altri potenziali vettori per sfruttare il difetto, tramite DNS e URL, funzionerebbero comunque, ha osservato.