0
0
Uma vulnerabilidade recém-corrigida (CVE-2022-42889) na biblioteca Apache Commons Text tem chamado a atenção de pesquisadores de segurança nos últimos dias, preocupados que isso possa levar a uma repetição do incêndio do dumpster Log4Shell .
Mas o veredicto final mostra que não há necessidade de pânico: embora a vulnerabilidade seja explorável (e já existam explorações de prova de conceito online), “A natureza da vulnerabilidade significa que, diferentemente do Log4Shell, será raro que um aplicativo use o componente vulnerável do Commons Text para processar entradas não confiáveis e potencialmente maliciosas”, diz Erick Galinkin, pesquisador do Rapid7 AI.
Sobre o CVE-2022-42889
O CVE-2022-42889, descoberto e relatado pelo pesquisador de segurança Alvaro Muñoz, é uma vulnerabilidade na popular biblioteca Apache Commons Text , focada em algoritmos que trabalham em strings.
“O Apache Commons Text realiza interpolação variável, permitindo que as propriedades sejam avaliadas e expandidas dinamicamente. O formato padrão para interpolação é “${prefix:name}”, onde “prefix” é usado para localizar uma instância de org.apache.commons.text.lookup.StringLookup que realiza a interpolação”, foi explicado .
“Começando com a versão 1.5 e continuando até a 1.9, o conjunto de instâncias de Lookup padrão incluía interpoladores que poderiam resultar em execução arbitrária de código ou contato com servidores remotos. Essas pesquisas são: – “script” – executar expressões usando o mecanismo de execução de script JVM (javax.script) – “dns” – resolver registros dns – “url” – carregar valores de urls, inclusive de servidores remotos.”
Os invasores podem enviar cargas especialmente criadas usando essas pesquisas para aplicativos baseados em Java com versões vulneráveis da biblioteca e obter execução remota de código.
“As organizações que têm dependências diretas do Apache Commons Text devem atualizar para a versão fixa (1.10.0)”, aconselhou Galinkin.
“Assim como acontece com a maioria das vulnerabilidades de bibliotecas, veremos a sequência usual de avisos de fornecedores com atualizações para produtos que empacotam implementações vulneráveis da biblioteca. Recomendamos que você instale esses patches assim que estiverem disponíveis e priorize qualquer lugar onde o fornecedor indique que sua implementação pode ser explorável remotamente.”
PoCs e uma ferramenta de detecção, mas sem exploração selvagem
Uma variedade de explorações PoC foi lançada para CVE-2022-42889, que foi informalmente apelidado de “Act4Shell” e “Text4Shell”.
Os pesquisadores do JFrog também publicaram uma ferramenta que os desenvolvedores podem usar para verificar se seus aplicativos contêm uma versão vulnerável da biblioteca ou funções vulneráveis.
“O Log4J é uma biblioteca Java amplamente usada e qualquer servidor web executando a versão vulnerável poderia ter sido facilmente explorado, enquanto a biblioteca Common Text não é tão prevalente”, diz Christopher Budd, gerente sênior da Sophos Threat Research.
“Além disso, o Log4J pode ser explorado com código genérico, enquanto essa nova vulnerabilidade provavelmente requer código específico e direcionado. Finalmente, a maioria dos aplicativos não passará valores fornecidos pelo usuário não higienizados para as funções vulneráveis da biblioteca, reduzindo ou negando os riscos de exploração. O Sophos X-Ops não está vendo atualmente os ataques que exploram o CVE-2022-42889 na natureza, mas continuará monitorando.”
O pesquisador da Sophos, Paul Ducklin, tem conselhos adicionais para desenvolvedores.
FONTE: HELPNET SECURITY