텍스트4셸(Text4Shell) 탐지 (CVE-2022-42889), Apache Commons Text의 치명적인 RCE
목차:
위협 행위자는 잠들지 않으며, 사이버 방어자도 새로운 위협에 맞서기 위해 잠시도 쉴 수 없습니다. 2022년에는 중요한 “쉘” 취약성의 물결이 사이버 위협 분야를 휩쓸고 있으며, 그 시작은 연초의 큰 이슈로 떠오른 Log4Shell 로 시작하였고, 그 후 Spring4Shell 이 3월에 등장하였고, 이후 ProxyNotShell 이 단 한 달 전에 나타났습니다. 10월에는 Apache Commons Text에서 CVE-2022-42889 또는 Text4Shell로 추적되는 새로운 중요한 원격 코드 실행(RCE) 취약점이 등장했습니다.
Text4Shell 탐지
다음 Log4Shell 상황으로 언급되는 CVE-2022-42889는 광범위한 공격의 심각한 위험을 안고 있습니다. 조직 인프라를 보호하고 가능한 빨리 악의적인 활동을 탐지하려면 SOC Prime 팀과 우리 Threat Bounty 저자들이 개발한 Sigma 규칙 세트를 탐색하십시오.
탐지는 18개의 SIEM, EDR, XDR 기술과 호환되며, MITRE ATT&CK® 프레임워크 와 일치하며, 초기 접근 및 횡적 이동 전술을 다루며, 공공 애플리케이션 익스플로잇(T1190) 및 원격 서비스의 익스플로잇(T1210)을 해당 기술로 포함됩니다.
우리의 Threat Bounty 프로그램 의 회원이 되어 Sigma와 ATT&CK 지식을 연마하며 탐지 엔지니어링 기술을 통해 수익을 창출하세요. 여러분이 작성한 코드가 새로운 사이버 공격을 탐지하거나 전력망 중단을 방지하는 데 도움이 된다고 상상해보세요. 세계 최대의 위협 탐지 마켓플레이스에 게시되고 30,000명 이상의 사이버 보안 전문가들이 탐색하며, 귀하의 탐지 콘텐츠는 세계를 더 안전한 곳으로 만들고, 귀하의 전문성을 입증하고 지속적인 경제적 혜택을 부여합니다.
탐지 탐색 버튼을 눌러 CVE-2022-42889에 대한 Sigma 규칙, 관련 CTI 링크, ATT&CK 참조 및 위협 사냥 아이디어를 즉시 액세스하십시오.
CVE-2022-42889 설명
사이버 보안 연구원은 문자열을 다루는 Apache Commons Text 저수준 라이브러리에 새로운 취약점을 공개했습니다. CVE-2022-42889 또는 Text4Shell로 알려진 보안 결함은 StringSubstitutor 대체기 객체에 존재하며, 인증되지 않은 위협 행위자가 손상된 도구를 호스팅하는 서버에서 원격 코드 실행을 수행할 수 있게 합니다.
Apache Commons Text는 여러 텍스트 작업을 수행하기 위한 오픈소스 라이브러리입니다. Apache Software Foundation(ASF)은 이 라이브러리를 표준 Java Development Kit(JDK)의 텍스트 처리에 대한 추가 기능을 제공하는 라이브러리로 설명합니다. 이 라이브러리가 공개적으로 접근 가능하므로, 제품에 영향을 미치는 새로운 중요한 RCE 결함의 유출은 이 소프트웨어에 의존하는 전세계 다양한 조직에 위협을 가합니다. CVE-2022-42889의 심각도 평가가 CVSS 척도에서 9.8에 도달하였으므로, 많은 Apache Commons Text 사용자들은 그 높은 위험에 대해 우려를 표명했으며 이를 악명 높은 CVE-2021-44228 aka Log4Shell과 비교했습니다. 그러나 대부분의 사이버 보안 전문가들은 그 영향이 그러한 규모에 비할 바는 아니라고 주장합니다.
이 보안 결함은 1.5부터 1.9까지의 2018년으로 거슬러 올라가는 Apache Commons Text 버전에 영향을 미칩니다. CVE-2022-42889의 PoC는 이미 공개되었으나, 아직까지는 자연 발생적인 취약점 활용 사례가 알려지지 않았습니다.
ASF는 Apache Commons Text 업데이트를 9월 말에 발행하여, 새 보안 결함의 상세 정보와 위협을 완화하는 방법을 10월 13일에 발표했습니다. 이 at the end of September with the details of the new security flaw and ways to remediate the threat released two weeks later, on October 13. According to 권고사항에 따르면, CVE-2022-42889는 라이브러리가 수행하는 변수 대체 작업 중에 발생할 수 있습니다. 라이브러리의 1.5부터 1.9까지의 버전에서는 “스크립트”, “dns”, “url”과 같은 일련의 기본 Lookups 인스턴스가 인터폴레이터를 포함하고 있을 수 있어서 원격 코드 실행을 초래할 수 있습니다. 사이버 보안 연구원들은 또한 Java 버전 15 이상을 사용하는 개인 사용자가 스크립트 대체가 적용되지 않을 가능성이 높다는 점에서 위험을 벗어난 것으로 보이나, DNS 또는 URL을 통한 다른 공격 벡터는 잠재적인 취약점 활용을 우려할 수 있다.
CVE-2022-42889 완화 조치로서, 사이버 방어자들은 1.10.0 버전으로 잠재적으로 취약한 라이브러리 인스턴스를 업그레이드할 것을 권장합니다. 이는 취약한 인터폴레이터를 차단할 기본 설정을 제공합니다.
위협 탐지 능력을 향상시키고 Sigma, MITRE ATT&CK 및 코드로 탐지를 통한 위협 탐지 알고리즘을 항상 손에 둘 수 있게 하여 위협 사냥 속도를 가속화하십시오. 관련 있는 모든 탐지 알고리즘을 On Demand에서 즉시 도달하십시오. 140+ Sigma 규칙을 무료로 즉시 이용하거나 https://my.socprime.com/pricing/ 에서 모든 관련 탐지 알고리즘을 얻으세요..
