Исследование компании FoxGlove Security выявило опасный баг в широко распространенной библиотеке, из состава Apache Commons.
Уязвимость может использоваться для удаленного исполнения кода и ставит под угрозу многие продукты, работающие на Java.
Основываясь на исследовании, ранее представленном сотрудниками Qualcomm Габриэлем Лоренсом (Gabriel Lawrence) и Крисом Фрохоффом (Chris Frohoff), специалисты FoxGlove Security продемонстрировали, что хакеры с легкостью могут воспользоваться данной уязвимостью для атак на Java серверы приложений, а также на любые другие продукты, в которых используется коллекция Apache Commons (в том числе Oracle WebLogic, IBM WebSphere, Red Hat’s JBoss, Jenkins и OpenNMS).
Основываясь на том, как Java исполняет user-defined код во время десериализации объектов, исследователи сумели создать пейлоуды, благодаря которым получили shell-доступ к машинам, на которых работали вышеперечисленные продукты (аналогичный трюк можно проделать с любыми другими машинами, использующими Java Remote Method Invocation).
Специалисты FoxGlove Security предупреждают, что уязвимая библиотека весьма популярна и используется во многих проектах: только GitHub отображает более 1300 результатов поиска. «Каждый сервер приложений поставляется со своим набором библиотек. И даже хуже: каждое приложение, которое вы деплоите на сервер, как правило, тоже имеет собственный набор библиотек, — пишут специалисты FoxGlove Security. — Чтобы полностью все исправить, вам придется найти и установить апдейты для каждой отдельной библиотеки».
Apache и Jenkins уже работают над исправлением бага. Jenkins опубликовали заплатку, отключающую систему Jenkins CLI, использующуюся в ходе атаки, и доделывают полноценный патч. Apache Commons выпустили патч для ветки 3.2.X, который добавил возможность отключения сериализации для InvokerTransformer по умолчанию.
Джефф Гилбах (Jeff Gehlbach) из OpenNMS вообще осудил действия FoxGlove Security, написав в Twitter о том, что подверженные уязвимостям проекты следует уведомлять о 0day багах, перед публикацией информации о них в открытом доступе, и потребовал извинений. FoxGlove Security, в свою очередь, оправдываются тем, что не сочли данную уязвимость 0day.
