警惕Apache 共享資源文字中的關鍵新漏洞

研究人員正在密切跟蹤Apache Commons Text中一個新的關鍵漏洞，該漏洞使未經身份驗證的攻擊者能夠在執行帶有受影響元件的應用程式的伺服器上遠端執行程式碼。

該漏洞(CVE-2022-42889)的嚴重性等級為9.8 (CVSS等級為10.0)，存在於Apache Commons Text的1.5到1.9版本中。該漏洞的概念驗證程式碼已經可用，但到目前為止還沒有發現利用活動的跡象。

更新版本可用

9月24日，Apache軟體基金會(ASF)釋出了該軟體的更新版本(Apache Commons Text 1.10.0)，但直到上週四才釋出了關於該漏洞的建議。

在報告中，基金會稱該缺陷源於Apache Commons Text執行變數插值時的不安全預設值，這基本上是在包含佔位符的程式碼中查詢和計算字串值的過程。“從1.5版本開始，一直到1.9版本，預設的Lookup例項集包括插值器，可能導致任意程式碼執行或與遠端伺服器的聯絡，”該報告稱。

與此同時，NIST敦促使用者升級到Apache Commons Text 1.10.0，稱該版本“預設禁用有問題的插值器”。

ASF Apache將公共文字庫描述為對標準Java開發工具包(JDK)文字處理的補充。根據Maven Central Java儲存庫中的資料，目前大約有2,588個專案使用該庫，包括一些主要的專案，如Apache Hadoop Common、Spark Project Core、Apache Velocity和Apache Commons Configuration。

GitHub安全實驗室表示，它的一名滲透測試員發現了這個漏洞，並在3月份向ASF的安全團隊報告了它。

迄今為止，追蹤該漏洞的研究人員在評估其潛在影響時一直很謹慎。著名的安全研究員凱文·博蒙特(Kevin Beaumont)週一在推特上表示想知道，該漏洞是否會導致潛在的Log4shell情況，他指的是去年年底臭名昭著的Log4j漏洞。

“Apache Commons Text支援允許在使用者提供的文字字串中執行程式碼的函式，”Beaumont說。但他說，為了利用它，攻擊者需要找到使用該功能的Web應用程式，同時也接受使用者輸入。他在推特上寫道:“我還不會開啟MSPaint，除非有人能找到使用這個功能的網路應用程式，並允許使用者提供輸入。”

概念驗證加劇了擔憂

來自威脅情報公司GreyNoise的研究人員告訴記者，該公司知道CVE-2022-42889的PoC即將可用。據他們說，新的漏洞與2022年7月宣佈的一個ASF幾乎相同，也與Commons Text中的變數插值有關。該漏洞(CVE-2022-33980)是在Apache通用配置中發現的，其嚴重性等級與新漏洞相同。

GreyNoise的研究人員說:“我們知道CVE-2022-42889的概念驗證程式碼可以在一個故意易受攻擊和受控的環境中觸發漏洞。”

Jfrog Security表示，他們正在監控這個漏洞，到目前為止，它的影響可能不會像Log4j那麼廣泛。JFrog在推特上說:“Apache Commons Text中的新CVE-2022-42889看起來很危險。”“似乎隻影響那些將攻擊者控制的字串傳遞給stringlookupfactory.INSTANCE

. interpolatorstringlookup ().lookup()的應用程式，”它說。

該安全供應商表示，使用Java版本15及更高版本的使用者在執行程式碼時應該是安全的，因為指令碼插值不起作用。但它指出，其他潛在的利用漏洞的途徑，透過DNS和URL仍然可以發揮作用。

及時瞭解漏洞情況以及檢測查詢軟體安全漏洞，在應用軟體開發期間使用靜態程式碼安全檢測工具可以從源頭避免漏洞存在。另外，按時更新漏洞補丁可以避免遭到網路犯罪分子的進一步攻擊。

文章來源：

https://www.darkreading.com/application-security/researchers-keep-a-wary-eye-on-critical-new-vulnerability-in-apache-commons-text