Les chercheurs suivent de près une vulnérabilité critique récemment révélée dans Apache Commons Text qui donne aux attaquants non authentifiés un moyen d'exécuter du code à distance sur des serveurs exécutant des applications avec le composant affecté.
Le défaut (CVE-2022-42889) s'est vu attribuer un classement de gravité de 9.8 sur 10.0 possibles sur l'échelle CVSS et existe dans les versions 1.5 à 1.9 d'Apache Commons Text. Le code de preuve de concept pour la vulnérabilité est déjà disponible, bien qu'il n'y ait jusqu'à présent aucun signe d'activité d'exploitation.
Version mise à jour disponible
La Fondation du logiciel Apache (ASF) publié une version mise à jour du logiciel (Apache Commons Text 1.10.0) le 24 septembre mais a émis un avis sur la faille seulement jeudi dernier. Dans ce document, la Fondation décrit la faille comme provenant de défauts non sécurisés lorsqu'Apache Commons Text effectue une interpolation variable, qui est essentiellement le processus de recherche et évaluation des valeurs de chaîne dans le code qui contiennent des espaces réservés. "À partir de la version 1.5 et jusqu'à la 1.9, l'ensemble d'instances de recherche par défaut comprenait des interpolateurs pouvant entraîner l'exécution de code arbitraire ou un contact avec des serveurs distants", indique l'avis.
Le NIST, quant à lui, a exhorté les utilisateurs à passer à Apache Commons Text 1.10.0, qui a déclaré : «désactive les interpolateurs problématiques par défaut."
L'ASF Apache décrit la bibliothèque Commons Text comme fournissant des ajouts à la gestion de texte standard du kit de développement Java (JDK). Quelques projets 2,588 utilisent actuellement la bibliothèque, y compris certaines bibliothèques majeures telles que Apache Hadoop Common, Spark Project Core, Apache Velocity et Apache Commons Configuration, selon les données du référentiel Java Maven Central.
Dans un avis aujourd'hui, GitHub Security Lab a déclaré qu'il était un de ses testeurs de stylo qui avait découvert le bogue et l'avait signalé à l'équipe de sécurité d'ASF en mars.
Jusqu'à présent, les chercheurs qui ont suivi le bogue ont été prudents dans leur évaluation de son impact potentiel. Le célèbre chercheur en sécurité Kevin Beaumont s'est demandé dans un tweet lundi si la vulnérabilité pouvait entraîner une situation potentielle de Log4shell, faisant référence à la tristement célèbre vulnérabilité Log4j de la fin de l'année dernière.
"Texte Apache Commons prend en charge les fonctions qui permettent l'exécution de code, dans des chaînes de texte potentiellement fournies par l'utilisateur », a déclaré Beaumont. Mais pour l'exploiter, un attaquant devrait trouver des applications Web utilisant cette fonction qui acceptent également les entrées de l'utilisateur, a-t-il déclaré. "Je n'ouvrirai pas encore MSPaint, sauf si quelqu'un peut trouver des applications Web qui utilisent cette fonction et permettent aux entrées fournies par l'utilisateur d'y accéder », a-t-il tweeté.
La preuve de concept exacerbe les inquiétudes
Des chercheurs de la société de renseignements sur les menaces GreyNoise ont déclaré à Dark Reading que la société était au courant de la disponibilité de PoC pour CVE-2022-42889. Selon eux, la nouvelle vulnérabilité est presque identique à une ASF annoncée en juillet 2022 qui était également associée à une interpolation variable dans Commons Text. Cette vulnérabilité (CVE-2022-33980) a été trouvée dans Apache Commons Configuration et avait le même indice de gravité que la nouvelle faille.
"Nous sommes conscients du code Proof-Of-Concept pour CVE-2022-42889 qui peut déclencher la vulnérabilité dans un environnement intentionnellement vulnérable et contrôlé", déclarent les chercheurs de GreyNoise. "Nous n'avons connaissance d'aucun exemple d'applications réelles largement déployées utilisant la bibliothèque Apache Commons Text dans une configuration vulnérable qui permettrait aux attaquants d'exploiter la vulnérabilité avec des données contrôlées par l'utilisateur."
GreyNoise continue de surveiller toute preuve d'activité d'exploit de "preuve dans la pratique", ont-ils ajouté.
Jfrog Security a déclaré qu'il surveillait le bogue et jusqu'à présent, il semble probable que l'impact sera moins répandu que Log4j. "Le nouveau CVE-2022-42889 dans Apache Commons Text semble dangereux", a déclaré JFrog dans un tweet. "Semble n'affecter que les applications qui transmettent des chaînes contrôlées par l'attaquant à-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()", a-t-il déclaré.
Le fournisseur de sécurité a déclaré que les personnes utilisant Java version 15 et ultérieure devraient être à l'abri de l'exécution de code car l'interpolation de script ne fonctionnera pas. Mais d'autres vecteurs potentiels d'exploitation de la faille - via DNS et URL - fonctionneraient toujours, a-t-il noté.
