Detección de Text4Shell (CVE-2022-42889), RCE Crítica en Apache Commons Text
Tabla de contenidos:
Los actores de amenazas no duermen, y los defensores cibernéticos tampoco pueden dormir para mantenerse al día con las amenazas emergentes. En 2022, una ola de vulnerabilidades críticas conocidas como «shell» ha estado inundando el escenario de amenazas cibernéticas, comenzando con la ruidosa aparición de Log4Shell a principios de año, seguido por Spring4Shell en marzo, luego ProxyNotShell hace solo un mes. En octubre, aparece en escena una nueva vulnerabilidad crítica de ejecución remota de código (RCE) en Apache Commons Text, rastreada como CVE-2022-42889 o Text4Shell.
Detección de Text4Shell
Referido como la próxima situación de Log4Shell, CVE-2022-42889 representa graves riesgos de ataques masivos en la naturaleza. Para proteger la infraestructura de su organización y detectar actividad potencialmente maliciosa en las primeras etapas del ataque, explore un conjunto de reglas Sigma desarrolladas por el equipo de SOC Prime y nuestros autores de Threat Bounty.
Las detecciones son compatibles con 18 tecnologías SIEM, EDR y XDR y están alineadas con el marco MITRE ATT&CK® abordando las tácticas de Acceso Inicial y Movimiento Lateral, con Explotación de Aplicaciones Expuestas al Público (T1190) y Explotación de Servicios Remotos (T1210) como técnicas correspondientes.
Conviértase en miembro de nuestro Programa de Recompensas por Amenazas para monetizar sus habilidades en Ingeniería de Detección mientras afina su conocimiento en Sigma y ATT&CK. Imagine que el código que escribió ayuda a detectar ataques cibernéticos emergentes o prevenir un corte de energía. Publicado en el mercado más grande de detección de amenazas del mundo y explorado por más de 30,000 profesionales de la ciberseguridad, su contenido de detección ayuda a hacer el mundo un lugar más seguro mientras demuestra su experiencia y otorga beneficios financieros recurrentes.
Presione el botón Explorar Detecciones para acceder instantáneamente a las reglas Sigma para CVE-2022-42889, enlaces CTI correspondientes, referencias ATT&CK e ideas para la caza de amenazas.
Descripción de CVE-2022-42889
Los investigadores de ciberseguridad han revelado una nueva vulnerabilidad en la biblioteca de bajo nivel Apache Commons Text que trabaja con cadenas de texto. La falla de seguridad conocida como CVE-2022-42889 o Text4Shell existe en el objeto de interpolador StringSubstitutor y permite a actores de amenazas no autenticados ejecutar códigos de manera remota en servidores que alojan la herramienta comprometida.
Apache Commons Text es una biblioteca de código abierto para realizar múltiples operaciones de texto. La Fundación Apache Software (ASF) describe la biblioteca como aquella que proporciona adiciones al manejo de texto del Kit de Desarrollo de Java (JDK) estándar. Dado que la biblioteca es de acceso público, la divulgación de una nueva falla crítica de RCE que afecta al producto representa una amenaza para una amplia gama de organizaciones en todo el mundo que dependen de este software. Debido a que la clasificación de severidad de CVE-2022-42889 alcanza un 9.8 en la escala CVSS, muchos usuarios de Apache Commons Text expresaron preocupaciones sobre sus altos riesgos y lo compararon con el notorio CVE-2021-44228 también conocido como Log4Shell, sin embargo, la mayoría de los expertos en ciberseguridad sugieren que está lejos de tener un impacto de tal magnitud.
La falla de seguridad afecta a las versiones de Apache Commons Text que datan de 2018 desde la 1.5 hasta la 1.9. Ya se ha lanzado el PoC para CVE-2022-42889, sin embargo, aún no se han conocido casos de explotación de la vulnerabilidad en la naturaleza.
El ASF emitió las actualizaciones de Apache Commons Text a finales de septiembre con los detalles de la nueva falla de seguridad y las formas de mitigar la amenaza lanzadas dos semanas después, el 13 de octubre. De acuerdo con este aviso, CVE-2022-42889 puede ser activado durante el transcurso de las operaciones de interpolación de variables que realiza la biblioteca. En las versiones de la biblioteca que van desde la 1.5 hasta la 1.9, un conjunto de instancias Lookup predeterminadas, como «script», «dns» o «url», contiene interpoladores que podrían conducir a la ejecución remota de código. Los investigadores de ciberseguridad también añaden que es probable que usuarios individuales y organizaciones que utilicen Java versión 15 y posterior estén fuera de los riesgos ya que la interpolación de scripts no será aplicable, sin embargo, otros vectores de ataque a través de DNS o URL podrían llevar a una posible explotación de la vulnerabilidad.
Como medidas de mitigación de CVE-2022-42889, los defensores cibernéticos recomiendan actualizar las instancias de la biblioteca potencialmente vulnerables a la versión 1.10.0, que proporciona configuraciones predeterminadas para bloquear interpoladores que pueden ser comprometidos.
Aumente sus capacidades de detección de amenazas y acelere la velocidad de caza de amenazas equipado con Sigma, MITRE ATT&CK y Detección como Código para tener siempre algoritmos de detección seleccionados contra cualquier TTP adversario o cualquier vulnerabilidad explotable a mano. Obtenga 800 reglas para CVEs existentes para defenderse proactivamente contra las amenazas que más importan. Acceda instantáneamente a 140+ reglas Sigma de forma gratuita o obtenga todos los algoritmos de detección relevantes con On Demand en https://my.socprime.com/pricing/.
