Urriaren 28an, bi kalteberatasun kritiko jakinarazi ziren, honelakoei eragiten dietenak: Apache Commons_text (CVE-2022-42889 identifikatzailea) eta Apache commons_configuration (CVE-2022-33980 identifikatzailea).
Hainbat fabrikatzailek jakinarazi dute segurtasun-hutsegite horiek inpaktua dutela Fortinet, SonicWall edo netAPP bezalako produktuetan.
Ez dakigu kalteberatasunak aktiboki ustiatzen ari diren edo garatutako exploit bat dagoen, gaur egun.
Eragindako baliabideak
- Apache Commons Text: 1.5 bertsiotik 1.9 bertsiora arte
- Apache commons_configuration: 2.4 bertsiotik 2.7 bertsiora arte
Analisi teknikoa
CVE-2022-42889 gisa identifikatutako kalteberatasunak Apache Commons Text-i eragiten dio, aldagaien interpolazioa egiten duen liburutegiari, eta horrek aukera ematen du propietateak modu dinamikoan ebaluatu eta zabaltzeko. Interpolaziorako formatu estandarra "${aurrizkia:izena}" da. Bertan, "aurrizkia" erabiltzen da apache.commons.text.lookup.StringLookup-en honen instantzia bat kokatzeko, interpolazioa egiten duena. 1.5 bertsioarekin hasi eta 1.9 arte jarraituz, aurrez zehaztutako bilaketa-instantzien multzoak barne hartzen zituen interpoladoreak, kode arbitrarioaren exekuzioa edo urruneko zerbitzariekiko kontaktua sor zezaketenak. Hauek dira bilaketak: - "script": espresioak exekutatzen ditu JVM scripten (javax.script) exekuzio-motorra erabiliz - “dns”: dns erregistroak ebazten ditu - "url”: URLtik baloreak kargatzen ditu, baita urruneko zerbitzarietatik ere Eragindako bertsioetan aurrez zehaztutako interpolazio-balioak erabiltzen dituzten aplikazioak kodearen urruneko exekuzioarekiko edo urruneko zerbitzariekiko nahigabeko kontaktuarekiko kalteberak izan daitezke konfiantzazkoak ez diren konfigurazio-balioak erabiltzen badira.
Kalteberatasuna ebaluatzeko metrika hau da:
CVSS Base: 9.8. Kritikoa
CWE-94: Improper Control of Generation of Code ('Code Injection')
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Eraso-bektorea: Sarea
- Erasoaren konplexutasuna: Txikia
- Eskatutako pribilegioak: Bat ere ez
- Erabiltzailearekiko interakzioa: Bat ere ez
- Irismena: Aldaketarik gabe
- Konfidentzialtasuna: Handia
- Osotasuna: Handia
- Erabilgarritasuna: Handia
CVE-2022-33980ri dagokionez, aldagaien interpolazioa egiten duen Apache Commons-en konfigurazioari eragiten dio, eta horrek aukera ematen du propietateak modu dinamikoan ebaluatu eta zabaltzeko. Interpolaziorako formatu estandarra "${prefix:name}" da, eta bertan "prefix" erabiltzen da interpolazioa egiten duen org.apache.commons.configuration2.interpol.Lookup-en instantzia bat kokatzeko. 2.4 bertsioarekin hasi eta 2.7 bertsiora arte jarraituta, aurrez zehaztutako bilaketa-instantzien multzoak barne hartzen zituen interpoladoreak, kode arbitrarioaren exekuzioa edo urruneko zerbitzariekiko kontaktua sor zezaketenak. Hauek dira bilaketak: - "script": espresioak exekutatzen ditu JVM scripten (javax.script) exekuzio-motorra erabiliz - “dns”: dns erregistroak ebazten ditu - "url”: URLtik baloreak kargatzen ditu, baita urruneko zerbitzarietatik ere Eragindako bertsioetan aurrez zehaztutako interpolazio-balioak erabiltzen dituzten aplikazioak kodearen urruneko exekuzioarekiko edo urruneko zerbitzariekiko nahigabeko kontaktuarekiko kalteberak izan daitezke konfiantzazkoak ez diren konfigurazio-balioak erabiltzen badira.
Kalteberatasuna ebaluatzeko metrika hau da:
CVSS Base: 9.8. Kritikoa
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Eraso-bektorea: Sarea
- Erasoaren konplexutasuna: Txikia
- Eskatutako pribilegioak: Bat ere ez
- Erabiltzailearekiko interakzioa: Bat ere ez
- Irismena: Aldaketarik gabe
- Konfidentzialtasuna: Handia
- Osotasuna: Handia
- Erabilgarritasuna: Handia
Konponbidea
Kalteberatasuna arintzeko, BCSCk gomendatzen du sistema eta aplikazioak erabilgarri dagoen azken bertsiora eguneratuta edukitzea beti, dagozkion eguneraketak argitaratu bezain laster.
- CVE-2022-42889 hutsegitea konpontzeko, erabiltzaileei ApApache Commons Text 1.10.0-ra eguneratzea gomendatzen zaie, interpoladore problematikoak modu lehenetsian desaktibatzen baititu.
- CVE-2022-33980 kalteberatasunari dagokionez, erabiltzaileei Apache Commons Configuration 2.8.0ra eguneratzeko gomendatzen zaie, interpoladore arazotsuak modu lehenetsian desaktibatzen baititu.
