Atenção para nova vulnerabilidade crítica no Apache Commons Text

24/10/2022 mindsecblog Notícias 0

Atenção para nova vulnerabilidade crítica no Apache Commons Text. Ainda não há nada que sugira que o CVE-2022-42889 seja o próximo Log4j. Mas o código de prova de conceito está disponível e o interesse parece estar aumentando.

Os pesquisadores estão acompanhando de perto uma vulnerabilidade crítica recém-divulgada no Apache Commons Text que oferece aos invasores não autenticados uma maneira de executar código remotamente em servidores que executam aplicativos com o componente afetado.

A falha ( CVE-2022-42889 ) recebeu uma classificação de gravidade de 9,8 de 10,0 possíveis na escala CVSS e existe nas versões 1.5 a 1.9 do Apache Commons Text. O código de prova de conceito para a vulnerabilidade já está disponível, embora até agora não tenha havido nenhum sinal de atividade de exploração.

Versão atualizada disponível

A Apache Software Foundation (ASF) lançou uma versão atualizada do software (Apache Commons Text 1.10.0) em 24 de setembro, mas emitiu um aviso sobre a falha apenas na última quinta-feira, 13 de outubro. Nele, a Fundação descreveu a falha como decorrente de padrões inseguros quando o Apache Commons Text executa a interpolação de variáveis, que basicamente é o processo de procurar e avaliar valores de string em código que contém espaços reservados. “Começando com a versão 1.5 e continuando até a 1.9, o conjunto de instâncias padrão do Lookup incluía interpoladores que poderiam resultar na execução arbitrária de código ou contato com servidores remotos”, disse o comunicado.

O NIST, por sua vez, instou os usuários a atualizar para o Apache Commons Text 1.10.0, que disse, “ desative os interpoladores problemáticos por padrão”.

O Apache ASF descreve a biblioteca Commons Text como fornecendo adições ao tratamento de texto padrão do Java Development Kit (JDK). Atualmente, cerca de 2.588 projetos usam a biblioteca, incluindo alguns dos principais, como Apache Hadoop Common, Spark Project Core, Apache Velocity e Apache Commons Configuration, de acordo com dados do repositório Maven Central Java.

Em um comunicado hoje, o GitHub Security Lab disse que foi um de seus pen testers que descobriu o bug e o relatou à equipe de segurança da ASF em março.

Os pesquisadores que rastreiam o bug até agora têm sido cautelosos em sua avaliação de seu impacto potencial. O renomado pesquisador de segurança Kevin Beaumont se perguntou em um tweet na segunda-feira se a vulnerabilidade poderia resultar em uma potencial situação do Log4shell, referindo-se à infame vulnerabilidade do Log4j do final do ano passado.

“O Apache Commons Text suporta funções que permitem a execução de código , em strings de texto potencialmente fornecidas pelo usuário”, disse Beaumont. Mas, para explorá-lo, um invasor precisa encontrar aplicativos da Web usando essa função que também aceite a entrada do usuário, disse ele. “Ainda não vou abrir o MSPaint, a menos que alguém possa encontrar aplicativos da web que usem essa função e permitam que a entrada fornecida pelo usuário o acesse“, ele twittou.

A prova de conceito exacerba as preocupações

Pesquisadores da empresa de inteligência de ameaças GreyNoise disseram à Dark Reading que a empresa estava ciente da disponibilidade do PoC para CVE-2022-42889. Segundo eles, a nova vulnerabilidade é quase idêntica a uma ASF anunciada em julho de 2022 que também estava associada à interpolação de variáveis no Commons Text. Essa vulnerabilidade ( CVE-2022-33980 ) foi encontrada na configuração do Apache Commons e tinha a mesma classificação de gravidade da nova falha.

“Estamos cientes do código de prova de conceito para CVE-2022-42889 que pode desencadear a vulnerabilidade em um ambiente intencionalmente vulnerável e controlado”, dizem os pesquisadores da GreyNoise. “Não temos conhecimento de nenhum exemplo de aplicativos do mundo real amplamente implantados utilizando a biblioteca Apache Commons Text em uma configuração vulnerável que permitiria que invasores explorassem a vulnerabilidade com dados controlados pelo usuário”.

A GreyNoise continua monitorando qualquer evidência de atividade de exploração “comprovada na prática”, acrescentaram.

A Jfrog Security disse que está monitorando o bug e, até agora, parece provável que o impacto seja menos difundido do que o Log4j . “O novo CVE-2022-42889 no Apache Commons Text parece perigoso”, disse JFrog em um tweet. “Parece afetar apenas aplicativos que passam strings controladas por invasores para-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()“, disse.

O fornecedor de segurança disse que as pessoas que usam Java versão 15 e posteriores devem estar protegidas da execução de código, pois a interpolação de script não funcionará. Mas outros vetores potenciais para explorar a falha – via DNS e URL – ainda funcionariam, observou.