Categoria: Inteligência de vulnerabilidadeClasse de vulnerabilidade: Execução remota de códigoID DA CAVERNA: CVE-2022-42889CVSS: 3.0 Pontuação: 9,8

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Uma nova vulnerabilidade crítica no muito popular Texto do Apache Commons biblioteca relatada e rastreada como CVE-2022-42889, chamada Text4Shell.
• A vulnerabilidade afeta a classe interpoladora StringSubstitutor, que permite pesquisas de cadeias de caracteres que levam à execução remota de código.

• Devido ao alto potencial de abuso e à fácil exploração em termos de disponibilidade, confidencialidade e integridade, a gravidade é crítica.

• Faça um patch para a versão mais recente (v1.10) para reduzir as vulnerabilidades
• Use scanners para ver se você foi afetado, por segurança.

Análise

A equipe de pesquisa da CloudSEK criou um breve relatório sobre a vulnerabilidade do Text4Shell.

A análise técnica do CVE-2022-42889

Uma biblioteca Java chamada Texto do Apache Commons é chamada de “uma biblioteca focada em algoritmos que trabalham com cadeias de caracteres”. Ele pode ser visto como um kit de ferramentas para manipulação de texto em geral.

• A classe interpoladora StringSubstitutor, que faz parte da biblioteca Commons Text, é vulnerável a uma falha encontrada nos pacotes 1.5 do Apache Commons Text e que continua até 1.9.
• Pesquisas de strings com um interpolador padrão são possíveis e podem resultar na execução remota de código.
• Devido a um erro lógico, as chaves de pesquisa “script”, “dns” e “url” são interpoladas por padrão, em vez de como deveriam ser, conforme declarado na documentação da classe StringLookupFactory.
• Essas chaves permitem que um invasor execute qualquer código usando pesquisas.
• O aplicativo web vulnerável expõe uma API de pesquisa na qual o Commons Text StringSubstitutor é usado para interpolar a consulta: http://web.app/text4shell/attack?search = <query>
• A vulnerabilidade pode ser explorada para iniciar um shell reverso com a carga descrita a seguir:
• O componente “$prefix:name” dessa carga útil inicia a String Lookup. “Script”, “dns” e “url” são as chaves que podem ser usadas como prefixo para explorar a vulnerabilidade, conforme mencionado anteriormente.
• A pesquisa tem vários campos que ela tenta identificar:

Conclusão

À luz do Log4shell, essa vulnerabilidade pode resultar em algum pânico. Embora seja usado com menos frequência na natureza e exija uma implementação específica para que a exploração seja viável, ainda é uma vulnerabilidade significativa porque é amplamente usada, é simples de explorar e tem um grande impacto. É crucial verificar se há vulnerabilidades no código.

Impacto e mitigação

ImpactoMitigação

• Ao considerar a parte vulnerável, o uso da biblioteca de texto Apache Commons aumenta o risco de exploração.
• A exploração só é possível se o objeto StringSubstitutor for implementado com alguma entrada controlada pelo usuário.

• Tome as medidas necessárias para reduzir a vulnerabilidade e continuar o monitoramento em tempo de execução de sua infraestrutura e aplicativos.

Referências

• ^#Protocolo de semáforo - Wikipedia
• Detalhe do CVE-2022-42889
• GHSL-2022-018: Execução arbitrária de código no texto do Apache Commons - CVE-2022-42889
• CVE-2022-42889: O texto do Apache Commons anterior à 1.10.0 permite RCE quando aplicado a entradas não confiáveis devido a padrões de interpolação inseguros