警惕Apache 共享資源文本中的關(guān)鍵新漏洞

研究人員正在密切跟蹤Apache Commons Text中一個(gè)新的關(guān)鍵漏洞，該漏洞使未經(jīng)身份驗(yàn)證的攻擊者能夠在運(yùn)行帶有受影響組件的應(yīng)用程序的服務(wù)器上遠(yuǎn)程執(zhí)行代碼。

該漏洞(CVE-2022-42889)的嚴(yán)重性等級(jí)為9.8 (CVSS等級(jí)為10.0)，存在于Apache Commons Text的1.5到1.9版本中。該漏洞的概念驗(yàn)證代碼已經(jīng)可用，但到目前為止還沒有發(fā)現(xiàn)利用活動(dòng)的跡象。

更新版本可用

9月24日，Apache軟件基金會(huì)(ASF)發(fā)布了該軟件的更新版本(Apache Commons Text 1.10.0)，但直到上周四才發(fā)布了關(guān)于該漏洞的建議。

在報(bào)告中，基金會(huì)稱該缺陷源于Apache Commons Text執(zhí)行變量插值時(shí)的不安全默認(rèn)值，這基本上是在包含占位符的代碼中查找和計(jì)算字符串值的過(guò)程?！皬?.5版本開始，一直到1.9版本，默認(rèn)的Lookup實(shí)例集包括插值器，可能導(dǎo)致任意代碼執(zhí)行或與遠(yuǎn)程服務(wù)器的聯(lián)系，”該報(bào)告稱。

與此同時(shí)，NIST敦促用戶升級(jí)到Apache Commons Text 1.10.0，稱該版本“默認(rèn)禁用有問(wèn)題的插值器”。

ASF Apache將公共文本庫(kù)描述為對(duì)標(biāo)準(zhǔn)Java開發(fā)工具包(JDK)文本處理的補(bǔ)充。根據(jù)Maven Central Java存儲(chǔ)庫(kù)中的數(shù)據(jù)，目前大約有2,588個(gè)項(xiàng)目使用該庫(kù)，包括一些主要的項(xiàng)目，如Apache Hadoop Common、Spark Project Core、Apache Velocity和Apache Commons Configuration。

GitHub安全實(shí)驗(yàn)室表示，它的一名滲透測(cè)試員發(fā)現(xiàn)了這個(gè)漏洞，并在3月份向ASF的安全團(tuán)隊(duì)報(bào)告了它。

迄今為止，追蹤該漏洞的研究人員在評(píng)估其潛在影響時(shí)一直很謹(jǐn)慎。著名的安全研究員凱文·博蒙特(Kevin Beaumont)周一在推特上表示想知道，該漏洞是否會(huì)導(dǎo)致潛在的Log4shell情況，他指的是去年年底臭名昭著的Log4j漏洞。

“Apache Commons Text支持允許在用戶提供的文本字符串中執(zhí)行代碼的函數(shù)，”Beaumont說(shuō)。但他說(shuō)，為了利用它，攻擊者需要找到使用該功能的Web應(yīng)用程序，同時(shí)也接受用戶輸入。他在推特上寫道:“我還不會(huì)打開MSPaint，除非有人能找到使用這個(gè)功能的網(wǎng)絡(luò)應(yīng)用程序，并允許用戶提供輸入。”

概念驗(yàn)證加劇了擔(dān)憂

來(lái)自威脅情報(bào)公司GreyNoise的研究人員告訴記者，該公司知道CVE-2022-42889的PoC即將可用。據(jù)他們說(shuō)，新的漏洞與2022年7月宣布的一個(gè)ASF幾乎相同，也與Commons Text中的變量插值有關(guān)。該漏洞(CVE-2022-33980)是在Apache通用配置中發(fā)現(xiàn)的，其嚴(yán)重性等級(jí)與新漏洞相同。

GreyNoise的研究人員說(shuō):“我們知道CVE-2022-42889的概念驗(yàn)證代碼可以在一個(gè)故意易受攻擊和受控的環(huán)境中觸發(fā)漏洞。”

Jfrog Security表示，他們正在監(jiān)控這個(gè)漏洞，到目前為止，它的影響可能不會(huì)像Log4j那么廣泛。JFrog在推特上說(shuō):“Apache Commons Text中的新CVE-2022-42889看起來(lái)很危險(xiǎn)?！薄八坪踔挥绊懩切⒐粽呖刂频淖址畟鬟f給stringlookupfactory.INSTANCE

. interpolatorstringlookup ().lookup()的應(yīng)用程序，”它說(shuō)。

該安全供應(yīng)商表示，使用Java版本15及更高版本的用戶在執(zhí)行代碼時(shí)應(yīng)該是安全的，因?yàn)槟_本插值不起作用。但它指出，其他潛在的利用漏洞的途徑，通過(guò)DNS和URL仍然可以發(fā)揮作用。

及時(shí)了解漏洞情況以及檢測(cè)查找軟件安全漏洞，在應(yīng)用軟件開發(fā)期間使用靜態(tài)代碼安全檢測(cè)工具可以從源頭避免漏洞存在。另外，按時(shí)更新漏洞補(bǔ)丁可以避免遭到網(wǎng)絡(luò)犯罪分子的進(jìn)一步攻擊。

文章來(lái)源：

https://www.darkreading.com/application-security/researchers-keep-a-wary-eye-on-critical-new-vulnerability-in-apache-commons-text