Update 18-10-2022
Wij zullen deze blog updaten zodra er meer bekend is.
Er is een ernstige kwetsbaarheid ontdekt in Apache Commons Text. De kwetsbaarheid is bekend onder de noemer CVE-2022-42889
bronnen: Access42
Achtergrond
Security onderzoekers van Security Lab hebben een kwetsbaarheid gevonden in het onderdeel Apache Commons Text.
Dit probleem is op 9 maart dit jaar door Álvaro Muñoz geïdentificeerd en gemeld aan het Apache Commons-security team en is opgelost in versie 1.10 .0, gepubliceerd op 24 september zonder enige adviserende inhoud met betrekking tot de correctie van CVE-2022-42889 of wijzigingen met betrekking tot dit beveiligingsprobleem.
Pas op 13 oktober werd deze kwetsbaarheid aangekondigd op de Apache-ontwikkelaarslijst en 5 dagen na de oplevering van de security update heeft Security Lab een artikel hier over geschreven. 17 oktober werd bekend gemaakt dat Apache Commons Text versie 1.5 tot aan 1.9 kwetsbaar zijn.
Analyse
De kwetsbaarheid is bekend onder CVE-2022-42889. ook is er een naam gekoppeld aan deze kwetsbaarheid, Text4shell.
De impact van deze kwetsbaarheid is ingeschaald op 9.8 op de schaal van 1 tot 10. Echter heeft deze kwetsbaarheid een aanzienlijk minder groot aanvalsoppervlak dan de andere 4shell gerelateerde kwetsbaarheden.
Door de kwetsbaarheid is het mogelijk voor een ongeautoriseerde aanvaller om willekeurige code uit te voeren op kwetsbare systemen.
Dit is een SSTI, Server-Side Template Injection-probleem met een payload die erg lijkt op Log4Shell:
${script:javascript:java.lang.Run.Runtime.getRuntime().exec("cat /etc/shadow");}
Er zijn Proof of Concepts online beschikbaar en daardoor is er een verhoogd risico op het misbruiken van deze kwetsbaarheid.
Oplossing
- Onderzoek of er binnen uw netwerk naar bestanden welke passen bij het patroon: commons-text*.jar
- update het onderdeel Apache Commons Text naar de laatste versie, namelijk 1.10.0.
- Indien onderdeel van een softwarepakket, volg de instructies van leveranciers wanneer zij aangeven dat hun software kwetsbaar is en dat zij een update beschikbaar hebben.
Identificeren van kwetsbare systemen
Een lijst van Tenable-plugins die deze kwetsbaarheid identificeren, verschijnt hier zodra ze zijn vrijgegeven. Deze link maakt gebruik van een zoekfilter om ervoor te zorgen dat alle overeenkomende plugins verschijnen zodra ze zijn vrijgegeven.
Meer informatie en achtergrond
- DTC: https://www.digitaltrustcenter.nl/nieuws/kwetsbaarheid-in-apache-commons-text
- Security Lab https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/
- Apache: https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
- POC: https://github.com/topics/cve-2022-42889
- Details: https://nakedsecurity.sophos.com/2022/10/18/dangerous-hole-in-apache-commons-text-like-log4shell-all-over-again/
