Los equipos de seguridad deben estar alerta ante la posibilidad de que surja una vulnerabilidad en Apache Commons Text que pueda poner en riesgo a muchas organizaciones, pero es poco probable que tenga un impacto tan grande como la vulnerabilidad Log4Shell de 2021.
Revelada por primera vez el 13 de octubre y asignada a CVE-2022-4288, la vulnerabilidad surge de cómo Apache Commons Text, un popular conjunto de herramientas de manipulación de texto que ofrece adiciones al manejo de texto estándar del Java Development Kit, realiza la interpolación de variables, también conocida como sustitución de cadenas.
La biblioteca contiene un formato de búsqueda estándar para la interpolación, pero se descubrió que las versiones 1.5 a 1.9 contienen otras búsquedas predeterminadas que podrían aceptar entradas no confiables de un atacante remoto, lo que lleva a la ejecución remota de código.
La versión 1.10.0 de Apache Commons Text desactiva estos formatos problemáticos de forma predeterminada y se recomienda a los usuarios que actualicen a esta versión de inmediato. Paul Ducklin de Sophos también aconsejó a los usuarios que desinfectaran sus entradas buscando y excluyendo secuencias de caracteres potencialmente peligrosas de la entrada; para buscar en sus redes el software Apache Commons Text que tal vez no sabían que tenían; y estar atento a las últimas noticias de ciberataques relacionados con el tema.
Con el incidente Log4Shell de diciembre de 2021, cuya explotación sigue siendo generalizada casi 12 meses después, todavía fresco en la mente de los profesionales de la seguridad, no sorprende que algunos ya lo llamen Text4Shell.
Y, de hecho, hay algunas similitudes, como señaló Erick Galinkin de Rapid7. Lo más significativo es que ambas son vulnerabilidades de nivel de biblioteca de código abierto que pueden afectar a una gran cantidad de aplicaciones de software en las que se utilizan.
“Sin embargo, el análisis inicial indica que esta es una mala comparación”, escribió Galinkin. “La naturaleza de la vulnerabilidad significa que, a diferencia de Log4Shell, será raro que una aplicación utilice el componente vulnerable de Commons Text para procesar entradas no confiables y potencialmente maliciosas”.
Además, agregó, después de haber probado un exploit de prueba de concepto contra múltiples versiones de JDK, el equipo de Rapid7 había informado diferentes niveles de éxito.
“Hay advertencias importantes sobre la explotabilidad práctica de CVE-2022-42889”, escribió Galinkin. “Dicho esto, aún recomendamos parchear cualquier software afectado relevante de acuerdo con su ciclo normal de parches”.
Sin embargo, el gerente senior de Sophos Threat Research, Christopher Budd, también aconsejó a los equipos de seguridad que no entren en pánico indebidamente.
“Log4J es una biblioteca de Java ampliamente utilizada, y cualquier servidor web que ejecute la versión vulnerable podría haber sido fácilmente explotado mientras que la biblioteca de Common Text no es tan frecuente”, dijo.
“Además, Log4J se puede explotar con un código genérico, mientras que esta nueva vulnerabilidad probablemente requiera un código específico y dirigido. Finalmente, la mayoría de las aplicaciones no pasarán valores proporcionados por el usuario sin desinfectar a las funciones vulnerables de la biblioteca, lo que reducirá o anulará los riesgos de explotación.
“Sophos X-Ops actualmente no está viendo ataques que exploten CVE-2022-42889 en la naturaleza, pero continuará monitoreando”, dijo Budd.