Apache Tika è un potente toolkit open-source per l’analisi dei contenuti, utilizzato dalle applicazioni aziendali per estrarre metadati e testo da una vasta gamma di tipi di file, inclusi PDF, documenti Microsoft Office e altri. Il suo ampio utilizzo come libreria backend significa che una vulnerabilità in Tika può avere un impatto a cascata su innumerevoli applicazioni che lo utilizzano per l’elaborazione dei file e l’ingestione di dati.
Questa vulnerabilità è particolarmente grave perché consente la divulgazione di informazioni non autenticata e pivoting di rete (SSRF). Qualsiasi applicazione esposta pubblicamente che utilizzi una versione vulnerabile di Tika per elaborare file caricati dagli utenti è ad alto rischio. Un attaccante può semplicemente caricare un PDF appositamente creato per leggere file sensibili lato server, come file di credenziali e codice sorgente, o per effettuare scansioni e attacchi a servizi interni di rete non direttamente esposti a Internet.
Fondamentale: è disponibile un exploit pubblico e notizie riportano attività di sfruttamento attivo in ambienti reali. La complessità dei componenti interessati (tika-core, tika-pdf-module, tika-parsers) aumenta la probabilità che le patch siano applicate in modo incompleto, lasciando i sistemi esposti. Le organizzazioni devono trattare questo problema come una minaccia critica e urgente.
| Prodotto | Apache Tika |
| Data | 2025-12-06 00:33:00 |
Riassunto tecnico
La causa tecnica di questa vulnerabilità è una CWE-611: Restrizione impropria del riferimento a entità esterne XML, comunemente nota come XXE injection. Il difetto esiste all’interno della libreria core di Apache Tika (tika-core) durante l’analisi dei dati XML Forms Architecture (XFA) che possono essere incorporati nei file PDF. Il parser XML responsabile della gestione dei moduli XFA non disabilita la risoluzione delle entità esterne.
La catena di attacco è la seguente:
- Un attaccante crea un file PDF malevolo contenente un modulo XFA incorporato. All’interno dei dati XML di questo modulo, l’attaccante include una DTD (Document Type Definition) malevola con una dichiarazione di entità esterna.
- Questa entità punta a una risorsa file locale (es.
file:///etc/passwd) o a una risorsa di rete interna. - L’attaccante carica questo PDF in un’applicazione lato server che utilizza una versione vulnerabile di Apache Tika per l’elaborazione.
- Quando il parser PDF di Tika elabora il file, incontra i dati XFA malevoli, risolve l’entità esterna e incorpora il contenuto della risorsa richiesta (es. il contenuto di
/etc/passwd) nell’output XML analizzato, che può poi essere esfiltrato dall’attaccante.
Un esempio concettuale di entità malevola all’interno dei dati XFA è:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % xxe SYSTEM "file:///etc/shadow">
%xxe;
]>
<root/>
Nota: questo è un esempio concettuale, non un payload funzionante.
Versioni affette:
- tika-core: Versioni 1.13 fino a 3.2.1
- tika-pdf-module: Versioni 2.0.0 fino a 3.2.1
- tika-parsers: Versioni 1.13 fino a 1.28.5
La vulnerabilità è corretta nelle versioni successive. A causa della complessa catena di dipendenze, è fondamentale assicurarsi che la libreria tika-core sottostante sia aggiornata.
Raccomandazioni
-
Applicare la patch immediatamente: Aggiorna tutti i componenti Apache Tika interessati alle versioni più recenti disponibili. Assicurati che la libreria sottostante
tika-coresia aggiornata oltre la versione 3.2.1 e chetika-parserssia aggiornato oltre la versione 1.28.5. Verifica le dipendenze nei file di build del progetto (pom.xml,build.gradle, ecc.) per confermare che le versioni corrette siano distribuite. -
Mitigazioni:
- Se non è possibile applicare subito la patch, considera l’implementazione di un controllo temporaneo per rifiutare i caricamenti di file PDF o instradarli attraverso un ambiente sandbox per l’elaborazione.
- Se l’applicazione lo consente, configura programmaticamente il parser XML utilizzato da Tika per disabilitare esplicitamente la risoluzione delle entità esterne. Questo funge da difesa secondaria robusta.
- Utilizza un Web Application Firewall (WAF) con regole progettate per ispezionare i contenuti dei file, anche se rilevare XXE all’interno di formati binari complessi come i PDF può essere inaffidabile.
-
Investigazione e monitoraggio:
- Monitora i log dell’applicazione per messaggi di errore relativi all’analisi XML, in particolare quelli contenenti parole chiave come
DOCTYPE,ENTITYoSYSTEM. - Esamina il traffico di rete in uscita dai server applicativi per eventuali richieste insolite verso indirizzi IP interni o URL esterni che non fanno parte delle attività normali, poiché ciò potrebbe indicare attività SSRF.
- Esegui un audit delle directory di caricamento file per identificare PDF sospetti, in particolare quelli di piccole dimensioni ma che causano errori di elaborazione.
- Monitora i log dell’applicazione per messaggi di errore relativi all’analisi XML, in particolare quelli contenenti parole chiave come
-
Risposta agli incidenti:
- Se si sospetta una compromissione, isola immediatamente l’host dalla rete per prevenire ulteriori esfiltrazioni di dati o movimenti laterali.
- Presumi che tutti i segreti, credenziali e chiavi API memorizzati o accessibili sul server compromesso siano stati compromessi e inizia le procedure di rotazione.
- Conduci un’analisi forense del sistema isolato per determinare l’entità della violazione e identificare eventuali file che sono stati accessi.
-
Difesa in profondità:
- Esegui la tua applicazione web con i privilegi utente più bassi possibili per limitare l’impatto di una lettura arbitraria di file.
- Implementa una segmentazione di rete rigorosa e regole firewall per impedire ai server web di stabilire connessioni arbitrarie a server di database interni, console amministrative e altre risorse sensibili.