Softver Apache Foundationa ponovno pod lupom
Iako je trenutačno ocijenjen kao 9.8/10.0, najnoviji CVE-2022-42889 čini se da nije tako daleko od zloglasnog CVE-2021-44228, poznatog kao Log4Shell. Ovaj put CVE-2022-42889 zahvaća biblioteku Apache Commons Text. Dio projekta Apache Commons, koji se fokusira na sve aspekte Java komponenti koje se mogu ponovno koristiti, komponenta Text izvodi interpolaciju varijabli, dopuštajući da se svojstva dinamički evaluiraju i proširuju unutar tekstualnog sadržaja.
Više detalja o ranjivosti pronađite ovdje. Ova biblioteka (eng. library) sadrži neke funkcionalnosti interpolacije koje bi mogle omogućiti napadačima prosljeđivanje i izvršavanje proizvoljnog koda. Srećom, ovoga puta organizacije imaju više sreće nego s bibliotekom Log4j: ta nije zahtijevala nikakav specifičan kod za izvođenje eksploatacije, što znači da su napadači mogli odmah pokrenuti skalabilne napade s vrlo generičkim kodom protiv svih poslužitelja povezanih s mrežom i internetom, a koji koriste ovu biblioteku.
U trenutnom slučaju, napadač bi morao istražiti svaku pojedinačnu aplikaciju pomoću tekstualne biblioteke i također pronaći onu koja će proslijediti neočišćene vrijednosti koje je dao korisnik. To iziskuje više vremena i truda i stoga je zaključak: ranjivost nije tako ozbiljna.
Uz to, dokazi iskorištavanja (eng. Proof-of-concept) već postoje, jer je prilično lako reproducirati uvjete koji pokreću ranjivost.
Nadalje, biblioteke Apache Commons toliko se koriste u nizu Java aplikacija, što znači da će organizacije pronaći mnoge verzije ranjive biblioteke na pojedinačnim poslužiteljima, pa čak i na klijentskim strojevima. Dakle, potrebno je ozbiljnije skeniranje i pretraživanje kako bi se identificirale sve ranjive instance koje vrebaju unutar organizacije.
Najnovija ranjivost samo je jedna u nizu koja zahvaća softver Apache Foundation-a: osim Log4Shell-a, u srpnju 2022. pokazalo se da još jedna komponenta Apache Commonsa, pod nazivom Configurator (koja pojednostavljuje upravljanje svojstvima konfiguracije aplikacije), ima slične opasnosti od interpolacije tekstualnih nizova.
Softverske komponente otvorenog koda Apache Foundationa toliko se koriste da će svaka buduća otkrivena ranjivost imati dalekosežne posljedice.