Una falla en el componente Apache Commons Collections pone servidores de aplicaciones Java en riesgo de ser comprometidos.

Una popular biblioteca de Java tiene una grave vulnerabilidad descubierta hace más de nueve meses y continúa poniendo a miles de aplicaciones y servidores Java en riesgo de ataques de ejecución de código remoto.

La falla incluye componentes Java mantenidos por Apache Software Foundation. La biblioteca se utiliza de forma predeterminada en varios servidores de aplicaciones Java y otros productos como Oracle WebLogic, IBM WebSphere, JBoss, Jenkins y OpenNMS.

La falla se encuentra específicamente en el componente de Apache Commons y se servía de la deserialización insegura de objetos Java. En los lenguajes de programación, la serialización es el proceso de convertir los datos a un formato binario para almacenarse en un archivo o en la memoria; o para enviarlos a través de la red. La deserialización es lo inverso de ese proceso.

La vulnerabilidad fue reportada por primera vez en una conferencia de seguridad en enero por los investigadores Chris Frohoff y Gabriel Lawrence, pero no recibió mucha atención, posiblemente debido a que muchas personas creen que la responsabilidad de prevenir ataques de deserialización recae en los desarrolladores de aplicaciones Java y no en la biblioteca de los creadores.

"No creo que la biblioteca tenga la culpa, aunque sin duda las mejoras se podrían hacer", dijo Carsten Eiram, jefe de investigación de la firma de inteligencia de vulnerabilidades Risk Based Security a través de correo electrónico. "Al final, si la entrada no es de confianza, no se debería deserializar ciegamente. Los desarrolladores deben entender cómo funciona una biblioteca y validar la entrada, en lugar de confiar en ella o tener la esperanza de que la biblioteca lo haga de manera segura".

La vulnerabilidad recibió una nueva ola de exposición, después de que investigadores de una compañía llamada FoxGlove Security publicaron pruebas de concepto sobre la base para WebLogic, WebSphere, JBoss, Jenkins y OpenNMS.

En respuesta, Oracle emitió una alerta de seguridad que contiene instrucciones de mitigación temporal para el servidor WebLogic, mientras que la compañía está trabajando en un parche permanente. Los desarrolladores de Apache Commons Collections también están trabajando en una solución.

Apache Commons Coleccions contiene una clase InvokerTransformer que realiza la reflexión o el método de invocación dinámica y que puede ser incluido en un objeto serializado. Esto puede permitir a un atacante elaborar un objeto suministrado por el usuario con contenido malicioso que se ejecuta cuando el objeto se deserializa por una aplicación Java, utilizando la biblioteca Apache Commons.

La clase InvokerTransformer no es mala y tampoco lo es la serialización, pero cuando se combinan, aparece un problema de seguridad, dijo Joshua Corman, CTO de Sonatype, una compañía de automatización de la cadena de suministro de software que ayuda a los desarrolladores a rastrear y administrar los componentes que utilizan en sus aplicaciones.