Araştırmacılar, Apache Commons Text’de, kimliği doğrulanmamış saldırganlara, etkilenen bileşenle uygulamaları çalıştıran sunucularda uzaktan kod yürütmek için bir yol sağlayan, kritik, yeni açıklanan bir güvenlik açığını yakından takip ediyor.
kusur (CVE-2022-42889), CVSS ölçeğinde olası 10.0 üzerinden 9.8’lik bir önem derecesine atanmıştır ve Apache Commons Metninin 1.5 ila 1.9 sürümlerinde mevcuttur. Güvenlik açığı için kavram kanıtı kodu zaten mevcut, ancak şu ana kadar herhangi bir istismar etkinliği belirtisi yok.
Güncellenmiş Sürüm Mevcut
Apache Yazılım Vakfı (ASF) güncellenmiş bir sürüm yayınladı 24 Eylül’de yazılımın (Apache Commons Text 1.10.0) kusur hakkında tavsiye sadece geçen perşembe. İçinde Vakıf, açığı, Apache Commons Text’in temelde arama ve arama süreci olan değişken enterpolasyon gerçekleştirdiğinde güvensiz varsayılanlardan kaynaklandığını açıkladı koddaki dize değerlerini değerlendirme yer tutucular içeren “Sürüm 1.5 ile başlayan ve 1.9 ile devam eden, varsayılan Arama örnekleri kümesi, rastgele kod yürütülmesine veya uzak sunucularla temasa neden olabilecek enterpolatörleri içeriyordu” dedi.
Bu arada NIST, kullanıcıları Apache Commons Text 1.10.0’a yükseltmeye çağırdı ve şunları söyledi: “sorunlu enterpolatörleri devre dışı bırakır varsayılan olarak.”
ASF Apache, Commons Metin kitaplığını standart Java Geliştirme Kiti’nin (JDK) metin işlemesine eklemeler sağlamak olarak tanımlar. Bazı 2.588 proje Maven Central Java deposundaki verilere göre Apache Hadoop Common, Spark Project Core, Apache Velocity ve Apache Commons Configuration gibi bazı önemli olanlar da dahil olmak üzere şu anda kitaplığı kullanıyor.
Bugün bir danışma belgesinde GitHub Security Lab, kalem test cihazlarından biri hatayı keşfetti ve Mart ayında ASF’deki güvenlik ekibine bildirdi.
Şimdiye kadar hatayı izleyen araştırmacılar, potansiyel etkisini değerlendirirken temkinli davrandılar. Tanınmış güvenlik araştırmacısı Kevin Beaumont Pazartesi günü bir tweet’te, güvenlik açığının potansiyel bir Log4shell durumuna neden olup olmayacağını merak etti ve geçen yılın sonundaki kötü şöhretli Log4j güvenlik açığına atıfta bulundu.
“Apache Commons Metni kod yürütülmesine izin veren işlevleri desteklerpotansiyel olarak kullanıcı tarafından sağlanan metin dizelerinde,” dedi Beaumont. Ancak bundan yararlanmak için, bir saldırganın bu işlevi kullanarak kullanıcı girdisini de kabul eden Web uygulamalarını bulması gerekir, dedi. “Henüz MSPaint’i açmayacağım, kimse webapps bulamazsa bu işlevi kullanan ve kullanıcı tarafından sağlanan girdinin ona ulaşmasına izin verenler” diye tweet attı.
Kavram Kanıtı Endişeleri Arttırıyor
Tehdit istihbarat firması GreyNoise’den araştırmacılar, Dark Reading’e şirketin CVE-2022-42889 için PoC’nin kullanıma sunulacağının farkında olduğunu söyledi. Onlara göre, yeni güvenlik açığı Temmuz 2022’de duyurulan ve Commons Metninde değişken enterpolasyonla ilişkilendirilen bir ASF ile neredeyse aynı. Bu güvenlik açığı (CVE-2022-33980) Apache Commons Configuration’da bulundu ve yeni kusurla aynı önem derecesine sahipti.
GreyNoise araştırmacıları, “CVE-2022-42889 için kasıtlı olarak savunmasız ve kontrollü bir ortamda güvenlik açığını tetikleyebilecek Kavram Kanıtı kodunun farkındayız” diyor. “Apache Commons Metin kitaplığını, saldırganların kullanıcı tarafından kontrol edilen verilerle güvenlik açığından yararlanmasına olanak tanıyan güvenlik açığı bulunan bir yapılandırmada kullanan, yaygın olarak dağıtılan gerçek dünya uygulamalarının hiçbir örneğinin farkında değiliz.”
GreyNoise, “uygulamada kanıt” istismar faaliyetinin herhangi bir kanıtını izlemeye devam ediyor, diye eklediler.
Jfrog Security, hatayı izlediğini söyledi ve şimdiye kadar, etkinin muhtemel olduğu görülüyor. Log4j’den daha az yaygın olacak. JFrog bir tweet’te “Apache Commons Metnindeki yeni CVE-2022-42889 tehlikeli görünüyor” dedi. “Yalnızca saldırgan tarafından kontrol edilen dizeleri-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()’a geçiren uygulamaları etkiliyor gibi görünüyor” dedi.
Güvenlik satıcısı, Java sürüm 15 ve sonraki sürümleri kullanan kişilerin, komut dosyası enterpolasyonu çalışmadığından kod yürütülmesine karşı güvende olmaları gerektiğini söyledi. Ancak, kusurdan yararlanmak için diğer potansiyel vektörlerin – DNS ve URL aracılığıyla – yine de işe yarayacağını belirtti.