Rilevamento di Text4Shell (CVE-2022-42889), RCE critico in Apache Commons Text
Indice:
Gli attori delle minacce non dormono, e i difensori cibernetici non possono chiudere occhio per stare al passo con le nuove minacce. Nel 2022, un’ondata di vulnerabilità critiche ‘shell’ ha inondato l’arena delle minacce cibernetiche, a partire dalla rumorosa comparsa di Log4Shell all’inizio dell’anno, seguita da Spring4Shell a marzo, e poi ProxyNotShell solo un mese fa. A ottobre, una nuova vulnerabilità critica di esecuzione di codice remoto (RCE) in Apache Commons Text arriva sulla scena, tracciata come CVE-2022-42889 o Text4Shell.
Rilevamento di Text4Shell
Indicata come la prossima situazione Log4Shell, CVE-2022-42889 pone gravi rischi di attacchi diffusi in natura. Per proteggere l’infrastruttura organizzativa e rilevare potenziali attività malevole nelle prime fasi di attacco, esplora un set di regole Sigma sviluppate dal Team SOC Prime e dai nostri autori di Threat Bounty.
Le rilevazioni sono compatibili con 18 tecnologie SIEM, EDR e XDR e sono allineate con il quadro MITRE ATT&CK® che affronta le tattiche di Accesso Iniziale e Movimento Laterale, con Exploit delle Applicazioni a Visibilità Pubblica (T1190) e Sfruttamento dei Servizi Remoti (T1210) come tecniche corrispondenti.
Diventa membro del nostro Programma Threat Bounty per monetizzare le tue competenze in Ingegneria della Rilevazione mentre affini le tue conoscenze Sigma e ATT&CK. Immagina che il codice che hai scritto aiuti a rilevare attacchi cibernetici emergenti o a prevenire un’interruzione della rete elettrica. Pubblicato nel più grande mercato di rilevamento delle minacce al mondo ed esplorato da oltre 30.000 professionisti della cybersecurity, il tuo contenuto di rilevamento aiuta a rendere il mondo un posto più sicuro mentre dimostri la tua competenza e ottieni benefici finanziari ricorrenti.
Premi il pulsante Esplora Rilevazioni per accedere immediatamente alle regole Sigma per CVE-2022-42889, ai collegamenti CTI corrispondenti, ai riferimenti ATT&CK e alle idee per la caccia alle minacce.
Descrizione di CVE-2022-42889
I ricercatori di cybersecurity hanno rivelato una nuova vulnerabilità nella libreria di basso livello Apache Commons Text che opera su stringhe. La falla di sicurezza nota come CVE-2022-42889 o Text4Shell esiste nell’oggetto interpolatore StringSubstitutor e consente agli attori delle minacce non autenticati di eseguire l’esecuzione remota di codice sui server che ospitano lo strumento compromesso.
Apache Commons Text è una libreria open-source per eseguire multiple operazioni di testo. La Apache Software Foundation (ASF) descrive la libreria come quella che fornisce aggiunte alla gestione del testo del Java Development Kit (JDK) standard. Poiché la libreria è accessibile pubblicamente, la divulgazione di una nuova falla critica RCE che colpisce il prodotto rappresenta una minaccia per un’ampia gamma di organizzazioni in tutto il mondo che si affidano a questo software. A causa del livello di gravità di CVE-2022-42889 che raggiunge 9.8 sulla scala CVSS, molti utenti di Apache Commons Text hanno sollevato preoccupazioni sui suoi alti rischi e l’hanno paragonata alla nota CVE-2021-44228 aka Log4Shell, tuttavia, la maggior parte degli esperti di cybersecurity suggerisce che è lontana dall’avere un impatto di tale portata.
La falla di sicurezza colpisce versi Apache Commons Text risalenti al 2018 da 1.5 a 1.9. Il PoC per CVE-2022-42889 è già stato pubblicato, tuttavia, non si è ancora verificato alcun caso noto di sfruttamento della vulnerabilità nello stato attuale.
L’ASF ha rilasciato gli aggiornamenti di Apache Commons Text alla fine di settembre con i dettagli della nuova falla di sicurezza e le modalità per rimediare alla minaccia rilasciate due settimane dopo, il 13 ottobre. Secondo questo avviso, CVE-2022-42889 può essere attivato nel corso delle operazioni di interpolazione variabili che la libreria esegue. Nelle versioni della libreria che vanno da 1.5 a 1.9, un set di istanze di Lookup predefinite, come “script”, “dns” o “url”, contiene interpolatori che potrebbero portare all’esecuzione remota di codice. Gli esperti di cybersecurity aggiungono inoltre che gli utenti privati e le organizzazioni che utilizzano Java versione 15 e successive probabilmente non corrono rischi poiché l’interpolazione di script non sarà applicabile, tuttavia, altri vettori di attacco tramite DNS o URL potrebbero portare a potenziali sfruttamenti di vulnerabilità.
Come misure di mitigazione di CVE-2022-42889, i difensori cibernetici raccomandano di aggiornare le istanze di libreria potenzialmente vulnerabili alla versione 1.10.0, che fornisce impostazioni predefinite per bloccare gli interpolatori che possono essere compromessi.
Potenzia le tue capacità di rilevamento delle minacce e accelera la velocità di caccia alle minacce dotato di Sigma, MITRE ATT&CK e Rilevamento come Codice per avere sempre a disposizione algoritmi di rilevazione curati contro qualsiasi TTP avversario o qualsiasi vulnerabilità sfruttabile. Ottieni 800 regole per CVE esistenti per difendersi proattivamente dalle minacce più significative. Accedi immediatamente a 140+ regole Sigma gratuitamente o ottieni tutti gli algoritmi di rilevazione rilevanti On Demand su https://my.socprime.com/pricing/.
