Veikleikanum svipar að mörgu leyti til Log4j að því leyti að kerfi þurfa ekki að vera opin út á internetið til að hægt sé að misnota veikleikann. Veikleikinn felur í sér að mögulega er hægt að ræsa tengingar við ytri þjóna, t.d. dns þjóna sem ógnaraðilar stjórna, lesa gögn úr minni og keyra skaðlegar skipanir sem kerfisstjóri (e. RCE – Remote Code Execution).
Veikleikinn er til staðar í útgáfum 1.5 til og með útgáfu 1.9 og er lagfærður í útgáfu 1.10.0 af Apache Commons Text [4]. Athugið að köllin dns, url og script eru gerð óvirk í Apache Commons Text uppfærslunni og þarf að virkja þau sérstaklega ef þau eru notuð.
Birtur hefur verið kóði til sem sýnir fram á að misnotkun er möguleg (e. proof of concept) en CERT-IS hefur ekki upplýsingar um að veikleikinn sé misnotaður af ógnaraðilum enn sem komið er. Veikleikinn er hins vegar þess eðlis að ástæða er til að ætla að ógnaraðilar hafi mikinn áhuga á að finna leiðir til að misnota veikleikann.
CERT-IS mælir með að:
- uppfæra sem fyrst án tafa
- ganga úr skugga um að allar útgáfur af Apache Commons Text séu uppfærðar og
því þarf mögulega að gera ítarlega leit að öllum uppsetningum. Ein leið til
að leita að slíkum uppsetningum er að leita eftir öllum ‘common-text*.jar’ á
skráarsvæðum. Útgáfan ‘common-text-1-10.0.jar’ er uppfærð útgáfa. - athugið að hvert java forrit getur notað eigin útgáfu af Apache Commons Text
og að kóði frá open source hugbúnaði eða þriðja aðila getur notað sína eigin
útgáfu. Samkvæmt [2] þá eru 2.588 hugbúnaðarpakkar sem nota Apache Commons
Text, t.d. Apache Hadoop Common, Spark Project Core, Apache Velocity og
Apache Commons Configuration. - mælt er með að allt inntak sem kallar í Apache Commons Text köll séu hreinsað
(e. sanitized) til að koma í veg fyrir að óæskilegar eða skaðlegar
textarunur séu meðhöndlaðar. - fylgjast með frekari fréttum af veikleikanum og tilkynningum frá CERT-IS
Vinsamlega tilkynnið allar upplýsingar um misnotkun eða tilraunir til misnotkunar til CERT-IS með því að senda tölvupóst á [email protected].
Tilvísanir:
[1] https://nakedsecurity.sophos.com/2022/10/18/dangerous-hole-in-apache-commons-text-like-log4shell-all-over-again/
[2] https://www.darkreading.com/application-security/researchers-keep-a-wary-eye-on-critical-new-vulnerability-in-apache-commons-text
[3] https://nvd.nist.gov/vuln/detail/CVE-2022-42889#vulnCurrentDescriptionTitle
[4] https://commons.apache.org/proper/commons-text/changes-report.html#a1.10.0
Með kveðju,
CERT-IS