Erkennung von Text4Shell (CVE-2022-42889), kritische RCE in Apache Commons Text
Inhaltsverzeichnis:
Bedrohungsakteure schlafen nicht, und Cyber-Verteidiger können auch kein Auge zumachen, um mit den sich entwickelnden Bedrohungen Schritt zu halten. Im Jahr 2022 überschwemmt eine Welle kritischer „Shell“-Schwachstellen die Cyber-Bedrohungsarena, beginnend mit dem lauten Auftreten von Log4Shell zum Jahreswechsel, gefolgt von Spring4Shell im März, dann ProxyNotShell vor nur einem Monat. Im Oktober tritt eine neuartige kritische Remote-Code-Ausführungs-Schwachstelle (RCE) in Apache Commons Text auf, die als CVE-2022-42889 oder Text4Shell verfolgt wird.
Text4Shell-Erkennung
Als nächste Log4Shell-Situation bezeichnet, birgt CVE-2022-42889 erhebliche Risiken für massive Angriffe in freier Wildbahn. Um Ihre Unternehmensinfrastruktur zu schützen und potenziell bösartige Aktivitäten in den frühesten Angriffsphasen zu erkennen, erkunden Sie eine Reihe von Sigma-Regeln, die vom SOC Prime Team und unseren Threat Bounty-Autoren entwickelt wurden.
Die Erkennungen sind mit 18 SIEM-, EDR- und XDR-Technologien kompatibel und sind an das MITRE ATT&CK®-Framework angepasst, wobei die Taktiken Initialer Zugang und Laterale Bewegung adressiert werden, mit den entsprechenden Techniken Anwendung öffentlicher Exploits (T1190) und Ausnutzung von Remote-Diensten (T1210).
Werden Sie Mitglied unseres Threat Bounty-Programms , um Ihre Detection-Engineering-Fähigkeiten zu monetarisieren, während Sie Ihr Wissen über Sigma und ATT&CK schärfen. Stellen Sie sich vor, der von Ihnen geschriebene Code hilft, aufkommende Cyberangriffe zu entdecken oder einen Stromausfall zu verhindern. Ihr in den weltweit größten Marktplatz für Bedrohungserkennung veröffentlichtes und von über 30.000 Cybersicherheitsfachleuten erkundetes Erkennungsinhalte tragen dazu bei, die Welt sicherer zu machen, während sie Ihre Expertise beweisen und wiederkehrende finanzielle Vorteile gewähren.
Drücken Sie die Schaltfläche „Erkennungen erkunden“, um sofort auf Sigma-Regeln für CVE-2022-42889, entsprechende CTI-Links, ATT&CK-Referenzen und Ideen zur Bedrohungsjagd zuzugreifen.
Beschreibung von CVE-2022-42889
Cybersicherheitsexperten haben eine neuartige Schwachstelle in der Apache Commons Text-Low-Level-Bibliothek aufgedeckt, die auf Zeichenketten arbeitet. Die als CVE-2022-42889 oder Text4Shell bekannte Sicherheitslücke existiert im StringSubstitutor-Interpolator-Objekt und ermöglicht es nicht authentifizierten Bedrohungsakteuren, Remote-Code-Ausführung auf Servern durchzuführen, die das kompromittierte Tool hosten.
Apache Commons Text ist eine Open-Source-Bibliothek für mehrere Textoperationen. Die Apache Software Foundation (ASF) beschreibt die Bibliothek als eine, die zum textuellen Handhabungsstandard des Java Development Kits (JDK) beigefügt wird. Da die Bibliothek öffentlich zugänglich ist, stellt die Offenlegung einer neuen kritischen RCE-Schwachstelle, die das Produkt betrifft, eine Bedrohung für eine Vielzahl von Organisationen weltweit dar, die auf diese Software angewiesen sind. Aufgrund der Tatsache, dass die CVE-2022-42889-Sicherheitsbewertung auf der CVSS-Skala 9,8 erreicht, äußerten viele Apache Commons Text-Nutzer Bedenken über die hohen Risiken und verglichen sie mit der berüchtigten CVE-2021-44228 alias Log4Shell, jedoch schlagen die meisten Cybersicherheitsexperten vor, dass es kaum Auswirkungen in einem solchen Umfang hat.
Die Sicherheitslücke betrifft Apache Commons Text-Versionen ab 2018 von 1.5 bis 1.9. Der PoC für CVE-2022-42889 wurde bereits veröffentlicht, jedoch gab es noch keine bekannten Fälle von Exploitation der Schwachstelle in freier Wildbahn.
Die ASF veröffentlichte die Apache Commons Text-Updates Ende September mit den Details der neuen Sicherheitslücke und Möglichkeiten zur Beseitigung der Bedrohung, die zwei Wochen später, am 13. Oktober, veröffentlicht wurden. Laut dieser Beratungkann CVE-2022-42889 im Laufe der vom Bibliothekssystem durchgeführten Variableninterpolationsoperationen ausgelöst werden. In den Bibliotheksversionen von 1.5 bis 1.9 enthält eine Reihe von Standard-Lookup-Instanzen, wie „script“, „dns“ oder „url“, Interpolatoren, die zu einer Remote-Code-Ausführung führen könnten. Cybersicherheitsexperten fügen hinzu, dass individuelle Benutzer und Organisationen, die Java Version 15 und höher nutzen, wahrscheinlich über die Risiken hinaus sind, da die Skriptinterpolation nicht anwendbar ist, jedoch andere Angriffsvektoren durch DNS oder URL könnten zu einer möglichen Schwachstellenausnutzung führen.
Als CVE-2022-42889-Abhilfemaßnahme empfehlen Cyberverteidiger, die potenziell anfälligen Bibliothekinstanzen auf Version 1.10.0 zu aktualisieren, die Standardeinstellungen bietet, um kompromittierbare Interpolatoren zu blockieren.
Verbessern Sie Ihre Bedrohungserkennungskapazitäten und beschleunigen Sie das Threat Hunting mit Sigma, MITRE ATT&CK und Detection as Code, um stets kuratierte Erkennungsalgorithmen gegen jede gegnerische TTP oder jede ausnutzbare Schwachstelle zur Hand zu haben. Erhalten Sie 800 Regeln für bestehende CVEs, um proaktiv gegen die Bedrohungen zu verteidigen, die am meisten bedeuten. Erreichen Sie sofort über 140 Sigma-Regeln kostenlos oder erhalten Sie alle relevanten Erkennungsalgorithmen mit On Demand unter https://my.socprime.com/pricing/.
