Détecter Text4Shell (CVE-2022-42889), RCE critique dans Apache Commons Text
Table des matières :
Les acteurs malveillants ne dorment jamais, et les défenseurs du cyberespace ne peuvent pas fermer l’œil non plus pour suivre les menaces émergentes. En 2022, une vague de vulnérabilités critiques « shell » a inondé le domaine des menaces cybernétiques, à commencer par l’apparition marquante de Log4Shell au tournant de l’année, suivie de Spring4Shell en mars, puis ProxyNotShell il y a juste un mois. En octobre, une nouvelle vulnérabilité critique d’exécution de code à distance (RCE) dans Apache Commons Text fait son apparition, suivie sous le nom de CVE-2022-42889 ou Text4Shell.
Détection Text4Shell
Reconnue comme la prochaine situation Log4Shell, CVE-2022-42889 présente des risques sévères d’attaques massives à grande échelle. Pour protéger l’infrastructure de votre organisation et détecter toute activité potentiellement malveillante dès les premières étapes de l’attaque, explorez un ensemble de règles Sigma développées par l’équipe SOC Prime et nos auteurs de Threat Bounty.
Les détections sont compatibles avec 18 technologies SIEM, EDR et XDR et sont alignées avec le cadre MITRE ATT&CK® adressant les tactiques d’Accès Initial et de Mouvement Latéral, avec comme techniques correspondantes l’Exploitation d’Applications Publiques (T1190) et l’Exploitation de Services à Distance (T1210).
Devenez membre de notre Programme de Prime de Menaces pour monétiser vos compétences en ingénierie de détection tout en affinant vos connaissances en Sigma et ATT&CK. Imaginez le code que vous avez écrit aide à détecter des cyberattaques émergentes ou à prévenir une panne de réseau électrique. Publié sur la plus grande place de marché de détection de menaces au monde et exploré par plus de 30 000 professionnels de la cybersécurité, votre contenu de détection contribue à rendre le monde plus sûr tout en prouvant votre expertise et en accordant des bénéfices financiers récurrents.
Appuyez sur le bouton Explorer les Détections pour accéder instantanément aux règles Sigma pour CVE-2022-42889, aux liens CTI correspondants, aux références ATT&CK et aux idées de chasse aux menaces.
Description de CVE-2022-42889
Les chercheurs en cybersécurité ont révélé une nouvelle vulnérabilité dans la bibliothèque de bas niveau Apache Commons Text qui fonctionne sur des chaînes de caractères. La faille de sécurité connue sous le nom de CVE-2022-42889 ou Text4Shell existe dans l’objet intercepteur StringSubstitutor et permet à des acteurs malveillants non authentifiés d’exécuter du code à distance sur les serveurs hébergeant l’outil compromis.
Apache Commons Text est une bibliothèque open source pour effectuer plusieurs opérations sur les textes. La fondation Apache Software (ASF) décrit la bibliothèque comme offrant des ajouts à la gestion des textes du kit de développement standard Java (JDK). Puisque la bibliothèque est publiquement accessible, la divulgation d’une nouvelle faille RCE critique affectant le produit constitue une menace pour un vaste éventail d’organisations dans le monde qui dépendent de ce logiciel. En raison de la classification de gravité de CVE-2022-42889 atteignant 9.8 sur l’échelle CVSS, de nombreux utilisateurs d’Apache Commons Text ont exprimé des préoccupations quant à leurs risques élevés et l’ont comparée à la tristement célèbre CVE-2021-44228 alias Log4Shell, toutefois, la plupart des experts en cybersécurité suggèrent qu’elle est loin d’avoir un impact d’une telle ampleur.
La faille de sécurité affecte les versions d’Apache Commons Text datant de 2018, de la 1.5 à la 1.9. Le PoC pour CVE-2022-42889 a déjà été publié, cependant, il n’y a toujours pas eu de cas connus d’exploitation de la vulnérabilité dans la nature.
L’ASF a publié les mises à jour Apache Commons Text à la fin de septembre avec les détails de la nouvelle faille de sécurité et les moyens de remédier à la menace publiés deux semaines plus tard, le 13 octobre. Selon ce conseil, CVE-2022-42889 peut être déclenché au cours des opérations d’interpolation de variables que la bibliothèque effectue. Dans les versions de la bibliothèque allant de la 1.5 à la 1.9, un ensemble d’instances de consultation par défaut, telles que « script », « dns » ou « url », contient des interpolateurs qui pourraient conduire à une exécution de code à distance. Les chercheurs en cybersécurité ajoutent également que les utilisateurs individuels et les organisations utilisant la version 15 de Java ou plus récente ont probablement dépassé les risques puisque l’interpolation de scripts ne sera pas applicable, cependant, d’autres vecteurs d’attaque via DNS ou URL pourraient conduire à une exploitation potentielle de la vulnérabilité.
Comme mesures d’atténuation pour CVE-2022-42889, les défenseurs suggèrent de mettre à niveau les instances de bibliothèque potentiellement vulnérables vers la version 1.10.0, qui fournit des paramètres par défaut pour bloquer les interpolateurs qui peuvent être compromis.
Renforcez vos capacités de détection de menaces et accélérez la vitesse de chasse aux menaces équipé de Sigma, MITRE ATT&CK, et la Détection par le Code pour toujours avoir des algorithmes de détection curés contre toute TTP adverse ou toute vulnérabilité exploitable à portée de main. Obtenez 800 règles pour les CVE existants pour défendre de manière proactive contre les menaces qui comptent le plus. Accédez instantanément à 140+ règles Sigma gratuitement ou obtenez tous les algorithmes de détection pertinents à la demande sur https://my.socprime.com/pricing/.
