Según la compañía de seguridad de WordPress Defiant, ya se han notado intentos de explotar una nueva vulnerabilidad en Apache Commons Text (CVE-2022-42889). Algunas personas piensan que este problema, llamado Text4Shell y que afecta a las versiones de la biblioteca 1.5 a 1.9, puede convertirse en el nuevo Log4Shell. El problema recibió 9,8 puntos sobre 10 posibles en la escala de calificación de vulnerabilidad CVSS.
La información sobre CVE-2022-42889 se reveló a principios de esta semana. Apache Commons Text es una biblioteca Java de código abierto para administrar cadenas de caracteres. Y en marzo de 2022, el experto de GitHub Security Lab, Álvaro Muñoz, descubrió que la biblioteca estaba expuesta a una vulnerabilidad RCE relacionada con el procesamiento de datos poco confiable y la interpolación variable.
La vulnerabilidad fue parcheada por los desarrolladores de Apache Commons la semana pasada, con el lanzamiento de la versión 1.10.0, donde se deshabilitaron los interpoladores problemáticos.
Dado que Apache Commons Text es utilizado por muchos desarrolladores y organizaciones, y la vulnerabilidad afecta incluso a versiones de la biblioteca lanzadas en 2018, algunos expertos advirtieron que el problema podría convertirse en el nuevo Log4Shell. Como resultado, CVE-2022-42889 se llamó Text4Shell o Act4Shell, pero pronto quedó claro que tales temores eran probablemente innecesarios.
En particular, los analistas de rapid7 publicaron su propio análisis del problema y explicaron que no todas las versiones de la biblioteca de 1.5 a 1.9 son vulnerables, y el potencial de explotación está asociado con la versión del JDK utilizada. También señalan que comparar la nueva vulnerabilidad con Log4Shell no es del todo correcto.
«La naturaleza de la vulnerabilidad es tal que, a diferencia de Log4Shell, una aplicación rara vez usará el componente de texto de Commons afectado para manejar entradas no confiables y potencialmente maliciosas», afirma el informe de Rapid7.
Los investigadores probaron el exploit PoC en diferentes versiones del JDK, y solo funcionó sin previo aviso en las versiones 9.0.4, 10.0.2 y 1.8.0_341. Sin embargo, debe tenerse en cuenta que ya se ha presentado un exploit PoC actualizado, trabajando en todas las versiones vulnerables, y resultó que las versiones de JDK 15 + también están sujetas al error.
Los expertos de Sophos estuvieron de acuerdo con el punto de vista de sus colegas, quienes dijeron que la vulnerabilidad es peligrosa, pero actualmente usarla en servidores vulnerables no es tan fácil como Log4Shell. E incluso el propio Muñoz, que descubrió el error, también explicó que, a pesar de las similitudes con Log4Shell, es probable que la nueva vulnerabilidad se propague y sea mucho menos peligrosa.
La misma opinión es compartida por el equipo de seguridad de Apache, que declaró que la escala del problema no es comparable a Log4Shell, y la interpolación de cadenas es una función documentada. Es decir, es poco probable que las aplicaciones que usan la biblioteca pasen inadvertidamente una entrada insegura sin validación.
Sin embargo, a pesar de todos estos informes de especialistas, los analistas de Defiant advirtieron que los hackers ya han comenzado a explotar CVE-2022-42889. La compañía ha estado monitoreando 4,000,000 de sitios desde el día en que se reveló el problema (17 de octubre) y ahora dice que ha detectado intentos de piratería que provienen de aproximadamente 40 direcciones IP y comenzaron el 18 de octubre. Aparentemente, hasta ahora estamos hablando solo de inteligencia.
«La gran mayoría de las consultas que vemos usan un prefijo DNS y están diseñadas para escanear instalaciones vulnerables: un intento exitoso resultará en que el sitio víctima envíe una consulta DNS al dominio lisner controlado por el atacante», escribió Defiant.
También debe tenerse en cuenta que, según los expertos de Positive Technologies, la biblioteca de texto Apache Commons sigue siendo vulnerable incluso después de actualizar a la versión 1.10.0, y la explotación del problema «depende de los métodos de su aplicación y no hay garantías en el uso inseguro de la biblioteca dentro de su propio producto o dentro de un paquete prestado».