Text4Shell（CVE-2022-42889）の検出、Apache Commons Textの重大なRCE

脅威アクターは眠らず、サイバー防御者も新たな脅威に対応するために一睡もできません。2022年には、重要な「シェル」脆弱性の波がサイバー脅威の領域を襲い、年始早々に大きな注目を集めた Log4Shell に始まり、3月には Spring4Shell 、つい一ヶ月前には ProxyNotShell が現れました。10月には、Apache Commons Textにおける新しい重要なリモートコード実行（RCE）脆弱性がCVE-2022-42889、またはText4Shellとして登場しました。

Text4Shell 検出

次のLog4Shellの状況とされるCVE-2022-42889は、大規模な野外攻撃の危険性が高まっています。組織のインフラを保護し、攻撃の初期段階で潜在的な悪意のある活動を検出するため、SOC Prime TeamおよびThreat Bountyの著者によって開発されたシグマルールのセットを探索してください。

これらの検出は、18のSIEM、EDR、XDRテクノロジーと互換性があり、 MITRE ATT&CK®フレームワーク に準拠しています。初期アクセスと横方向の移動戦術に対処し、対象となる技術としてPublic-Facing Applications (T1190) および Remote Services のエクスプロイト (T1210) を取扱います。

我々の Threat Bounty Program に参加して、シグマとATT&CKの知識を磨きながら、検出エンジニアリングの技術を収益化しましょう。あなたの書いたコードが新たなサイバー攻撃の検出や電力網の停止を防ぐのに役立つことを想像してください。世界最大の脅威検出市場に公開され、30,000以上のサイバーセキュリティの専門家によって探求され、あなたの検出コンテンツは世界をより安全な場所にしつつ、あなたの専門技術を立証し、定期的な経済的利益をもたらします。

Explore Detectionsボタンを押して、CVE-2022-42889のシグマルール、対応するCTIリンク、ATT&CK参照、スレットハンティングのアイデアに即座にアクセスしてください。

検出を探索

CVE-2022-42889 説明

サイバーセキュリティ研究者たちは、文字列を操作するApache Commons Text低レベルライブラリの新しい脆弱性を明らかにしました。CVE-2022-42889またはText4Shellとして知られるこのセキュリティ欠陥は、StringSubstitutorインターポレーターオブジェクトに存在し、認証されていない脅威アクターが危険にさらされたツールをホストするサーバー上でリモートコードを実行できるようにします。

Apache Commons Textは、複数のテキスト操作を行うためのオープンソースライブラリです。Apache Software Foundation (ASF)は、このライブラリを標準のJava開発キット（JDK）のテキスト処理に追加機能を加えるものとして説明しています。このライブラリは公開されているため、製品に影響を与える新たな重大なRCE脆弱性の公開は、このソフトウェアに依存する世界中の多くの組織に脅威をもたらします。CVE-2022-42889の深刻度ランキングがCVSSスケールで9.8に達したため、多くのApache Commons Textユーザーはその高いリスクに懸念を示し、悪名高い CVE-2021-44228 （Log4Shellとして知られる）と比較しましたが、多くのサイバーセキュリティ専門家は、この規模の影響にはほど遠いと考えています。

この脆弱性は、2018年に遡る1.5から1.9のバージョンのApache Commons Textに影響を与えます。CVE-2022-42889のPoCはすでに公開されていますが、野外での脆弱性の悪用の知られているケースはまだありません。

ASF は Apache Commons Textの更新 を9月末に発表し、10月13日に新しいセキュリティ欠陥の詳細と脅威を軽減する方法を発表しました。 このアドバイザリによると、CVE-2022-42889はライブラリが行う変数補完操作の過程で引き起こされる可能性があります。ライブラリバージョン1.5から1.9までの範囲では、「script」、「dns」、または「url」のようなデフォルトのルックアップインスタンスのセットがリモートコード実行につながる可能性があるインターポレーターを含んでいます。サイバーセキュリティ研究者はまた、Javaバージョン15以降を利用している個々のユーザーや組織は、スクリプト補完が適用されないため、リスクからは免れる可能性が高いが、DNSやURLを通じた他の攻撃ベクトルが潜在的な脆弱性の悪用につながる可能性があることも指摘しています。

CVE-2022-42889の軽減策として、サイバー防御者は、潜在的に脆弱なライブラリインスタンスを、脆弱性を引き起こす可能性のあるインターポレーターをブロックするためのデフォルト設定を提供するバージョン1.10.0にアップグレードすることを推奨しています。

脅威検出能力を向上させ、シグマ、MITRE ATT&CK、コードとしての検出を装備して、あらゆる敵対TTPや攻撃された脆弱性に対して常に管理された検出アルゴリズムを持つことで脅威ハンティングの速度を上げます。既存のCVEに対して800のルールを入手し、最も重要な脅威に対抗するための事前防御を可能にします。一瞬で 140+ シグマルールを無料で 入手するか、全ての関連する検出アルゴリズムを《オンデマンド》で入手します https://my.socprime.com/pricing/.