Detectando Text4Shell (CVE-2022-42889), RCE Crítica no Apache Commons Text
Índice:
Os agentes de ameaça não dormem, e os defensores cibernéticos também não podem dormir nem um pouco para acompanhar as ameaças emergentes. Em 2022, uma onda de vulnerabilidades críticas “shell” tem inundado o cenário de ameaças cibernéticas, começando com o barulhento surgimento do Log4Shell no início do ano, seguido por Spring4Shell em março, então ProxyNotShell apenas um mês atrás. Em outubro, uma nova vulnerabilidade crítica de execução remota de código (RCE) no Apache Commons Text surge na cena rastreada como CVE-2022-42889 ou Text4Shell.
Detecção Text4Shell
Referida como a próxima situação de Log4Shell, a CVE-2022-42889 apresenta riscos graves de ataques massivos na natureza. Para proteger sua infraestrutura organizacional e detectar atividades potencialmente maliciosas nos estágios iniciais de ataque, explore um conjunto de regras Sigma desenvolvidas pela equipe SOC Prime e nossos autores Threat Bounty.
As detecções são compatíveis com 18 tecnologias SIEM, EDR e XDR e estão alinhadas com o framework MITRE ATT&CK® abordando as táticas de Acesso Inicial e Movimento Lateral, com Exploração de Aplicações Externamente Visíveis (T1190) e Exploração de Serviços Remotos (T1210) como técnicas correspondentes.
Torne-se membro do nosso Programa Threat Bounty para monetizar suas habilidades de Engenharia de Detecção enquanto aprimora seu conhecimento em Sigma e ATT&CK. Imagine que o código que você escreveu ajuda a detectar ataques cibernéticos emergentes ou prevenir uma interrupção na rede elétrica. Publicado no maior marketplace de detecção de ameaças do mundo e explorado por mais de 30.000 profissionais de cibersegurança, seu conteúdo de detecção ajuda a tornar o mundo um lugar mais seguro enquanto comprova sua expertise e concede benefícios financeiros recorrentes.
Pressione o botão Explorar Detecções para acessar instantaneamente regras Sigma para CVE-2022-42889, links CTI correspondentes, referências ATT&CK e ideias de caçada à ameaça.
Descrição do CVE-2022-42889
Pesquisadores de cibersegurança revelaram uma nova vulnerabilidade na biblioteca de baixo nível Apache Commons Text que trabalha com strings. A falha de segurança conhecida como CVE-2022-42889 ou Text4Shell existe no objeto interpolador StringSubstitutor e permite que agentes de ameaça não autenticados executem código remotamente em servidores hospedando a ferramenta comprometida.
Apache Commons Text é uma biblioteca de código aberto para realizar várias operações de texto. A Apache Software Foundation (ASF) descreve a biblioteca como aquela que oferece adições ao kit padrão de manuseio de texto do Java Development Kit (JDK). Como a biblioteca é publicamente acessível, a divulgação de uma nova falha crítica de RCE que afeta o produto representa uma ameaça a uma ampla gama de organizações no mundo inteiro que dependem desse software. Devido à classificação de severidade do CVE-2022-42889 atingir 9.8 na escala CVSS, muitos usuários do Apache Commons Text levantaram preocupações sobre seus altos riscos e compararam-na à notória CVE-2021-44228 também conhecido como Log4Shell, entretanto, a maioria dos especialistas em cibersegurança sugerem que está longe de ter um impacto de tal escala.
A falha de segurança afeta versões do Apache Commons Text datadas de 2018, da 1.5 à 1.9. O PoC para CVE-2022-42889 já foi lançado, no entanto, ainda não há casos conhecidos de exploração da vulnerabilidade na natureza.
A ASF emitiu as atualizações do Apache Commons Text no final de setembro com os detalhes da nova falha de segurança e maneiras de remediar a ameaça divulgados duas semanas depois, em 13 de outubro. De acordo com este aviso, CVE-2022-42889 pode ser acionada durante as operações de interpolação de variáveis que a biblioteca executa. Nas versões da biblioteca que variam de 1.5 a 1.9, um conjunto de instâncias padrão de Lookup, como “script”, “dns” ou “url”, contém interpoladores que podem levar à execução remota de código. Pesquisadores de cibersegurança também adicionam que usuários individuais e organizações que utilizam a versão 15 do Java e posteriores provavelmente estão além dos riscos, já que a interpolação de script não será aplicável, no entanto, outros vetores de ataque através de DNS ou URL podem levar a uma potencial exploração da vulnerabilidade.
Como medidas de mitigação para CVE-2022-42889, defensores cibernéticos recomendam atualizar as instâncias potencialmente vulneráveis da biblioteca para a versão 1.10.0, que fornece configurações padrão para bloquear interpoladores que podem ser comprometidos.
Melhore suas capacidades de detecção de ameaças e acelere a velocidade de caça às ameaças equipado com Sigma, MITRE ATT&CK e Detecção como Código para sempre ter algoritmos de detecção curados contra qualquer TTP adversário ou qualquer vulnerabilidade explorável em mãos. Obtenha 800 regras para CVEs existentes para se defender proativamente contra ameaças que mais importam. Alcance instantaneamente 140+ regras Sigma gratuitamente ou obtenha todos os algoritmos de detecção relevantes sob Demanda em https://my.socprime.com/pricing/.
