News Text4Shell, bug critico nella libreria Apache Commons Text

[0xbro]

Sulla scia di Log4Shell e Spring4Shell, è stata scoperta da poco Text4Shell, la nuova remote command execution che impatta la libreria Apache Commons Text e permette di eseguire codice arbitrario.​

Text4Shell, nuova RCE nella libreria Apache Commons Text​

Tempo di lettura stimato: 6 min​

---

Alvaro Munoz, noto ricercatore di sicurezza informatica, ha recentemente scoperto una nuova vulnerabilità nella libreria Apache Commons Text che permette di eseguire codice arbitrario, classificata con la CVE-2022-42889 e soprannominata comunemente Text4Shell (vista la similitudine con le precedenti Log4Shell e Spring4Shell).​

GHSL-2022-018: Arbitrary Code Execution in Apache Commons Text - CVE-2022-42889

The StringSubstitutor default interpolators may lead to unsafe script evaluation and arbitrary code execution

securitylab.github.com

La vulnerabilità ha ottenuto uno score di 9,8 (su un massimo di 10 - scopri come calcolare la gravità di una vulnerabilità informatica) e consente di eseguire codice arbitrario, ma nonostante ciò la probabilità che venga exploitata, se messa a paragone con Log4Shell, è molto più bassa. Ciò è dovuto al fatto che è molto più raro che venga parsato tramite questa libreria dell'input passato direttamente dall'utente.

"The vulnerable StringSubstitutor (ref) interpolator is considerably less widely used than the vulnerable string substitution in Log4j and the nature of such an interpolator means that getting crafted input to the vulnerable object is less likely than merely interacting with such a crafted string as in Log4Shell” spiegano i ricercatori di Rapid7 all'interno del loro articolo (CVE-2022-42889: Keep Calm and Stop Saying "4Shell") riguardo tale vulnerabilità. Fare hype attorno a queste falle è controproducente, non serve a nulla, se non a creare caos e inutili allarmismi. La natura stessa della vulnerabilità mostra come, a differenza di Log4Shell, è raro che un'applicazione utilizzi il componente vulnerabile di Commons Text per elaborare input non attendibili e potenzialmente dannosi.

La stesso team di security dell'Apache foundation conferma quanto già stato detto (ref):
“This issue is different from Log4Shell (CVE-2021-44228) because in Log4Shell, string interpolation was possible from the log message body, which commonly contains untrusted input. In the Apache Common Text issue, the relevant method is explicitly intended and clearly documented to perform string interpolation, so it is much less likely that applications would inadvertently pass in untrusted input without proper validation”.


Le versioni di Apache Common Text impattate dal bug vanno dalla 1.5 alla 1.9, per cui per rimediare la vulnerabilità è sufficiente aggiornare la libreria alla versione 1.10, già rilasciata assieme alla responsible disclosure di Alvaro.

Per il dettaglio tecnico della falla, Alvaro dice:
“The Apache Commons Text code appears to be based on the Log4j code, as both of them enable interpolation of multiple Lookup sources. Log4j enabled JNDI lookups [while] Apache Commons Text and Apache Commons Configuration allows script lookups. [...] The StringSubstitutor when used with the default interpolators (StringSubstitutor.createInterpolator()) will perform string lookups that may lead to arbitrary code execution. [...] In particular, if untrusted data flows into the StringSubstitutor.replace() or StringSubstitutor.replaceIn() methods, an attacker will be able to use the ScriptStringLookup to trigger arbitrary code execution.”
​

Dai PoC creati ad hoc per testare questa CVE si può evincere effettivamente la similitudine tra Log4Shell e Text4Shell:

Gli sviluppatori del progetto Apache inoltre aggiungono (ref):
“These lookups are: – “script” – execute expressions using the JVM script execution engine (javax.script) – “dns” – resolve dns records – “url” – load values from urls, including from remote servers Applications using the interpolation defaults in the affected versions may be vulnerable to remote code execution or unintentional contact with remote servers if untrusted configuration values are used".

Ulteriori risorse​

• GHSL-2022-018: Arbitrary Code Execution in Apache Commons Text - CVE-2022-42889
• Text4Shell, a remote code execution bug in Apache Commons Text library
• Apache Commons Text RCE: Resemblance to Log4Shell but exposure risk is ‘much lower’
• CVE-2022-42889: Keep Calm and Stop Saying "4Shell"
• CVE-2022-42889 (NVD)
• CVE-2022-42889 (MITRE)
• Dockerized POC for CVE-2022-42889 Text4Shell

---

Made with ❤ for Inforge​

---

 

[Access Denied]

Una cosa non ho capito, dato che Apache è un cross-platform tool, e quindi compatibile con ogni OS, è possibile che l'exploit sia mitigato dal fatto che magari Apache stia girando su un target che ha un OS di uso meno comune, come Macintosh?

 

[0xbro]

Una cosa non ho capito, dato che Apache è un cross-platform tool, e quindi compatibile con ogni OS, è possibile che l'exploit sia mitigato dal fatto che magari Apache stia girando su un target che ha un OS di uso meno comune, come Macintosh?

No, da quel che ho capito non in questo caso, il problema risiede proprio nel parser di Apache Commons Text che è comune per tutte le piattaforme. L'unica differenza sarebbe nel payload da utilizzare per eseguire codice (non ricordo se su Mac, Chromebook e simili sia presente netcat di default), però poco cambia, la vulnerabilità è presente ovunque, è solo necessario fare altre azioni.
Poi suppongo che questa libreria sia utilizzata principalmente su apparati server, per cui credo che le casistiche più comuni siano OS windows e linux, però mai dire mai ahah

 

[PwnTheWeb]

No, da quel che ho capito non in questo caso, il problema risiede proprio nel parser di Apache Commons Text che è comune per tutte le piattaforme. L'unica differenza sarebbe nel payload da utilizzare per eseguire codice (non ricordo se su Mac, Chromebook e simili sia presente netcat di default), però poco cambia, la vulnerabilità è presente ovunque, è solo necessario fare altre azioni.
Poi suppongo che questa libreria sia utilizzata principalmente su apparati server, per cui credo che le casistiche più comuni siano OS windows e linux, però mai dire mai ahah

Netcat ci sta sempre di default, il punto è che non è il netcat tradizionale, in questo che è installato manca la flag -e, --exec, che è quella che fa fare la reverse shell, nel caso la reverse credo di possa fare sempre con bash vero?

 

[0xbro]

Netcat ci sta sempre di default, il punto è che non è il netcat tradizionale, in questo che è installato manca la flag -e, --exec, che è quella che fa fare la reverse shell, nel caso la reverse credo di possa fare sempre con bash vero?

Sì esatto, nei casi più standard sì, altrimenti ti scarichi direttamente una reverse shell compilata e la esegui, o ancora meglio installi una webshell (se c'è Apache ci sarà anche un web server con un sito, credo)

 

[0xbro]

Come ci si poteva aspettare, sono stati rilevati dei tentativi di exploitation "in the wild" di questa vulnerabilità:

Experts warn of CVE-2022-42889 Text4Shell exploit attempts

Wordfence researchers warn of exploitation attempts targeting the recently disclosed flaw in Apache Commons Text dubbed Text4Shell. Experts at WordPress security firm Wordfence reported exploitation attempts targeting the recently disclosed flaw in Apache Commons Text dubbed Text4Shell. GitHub’s...

securityaffairs.co

Threat Advisory: Monitoring CVE-2022-42889 "Text4Shell" Exploit Attempts

On October 17, 2022, the Wordfence Threat Intelligence team began monitoring for activity targeting CVE-2022-42889, or “Text4Shell” on our network of 4 million websites. We started seeing activity targeting this vulnerability on October 18, 2022. Text4Shell is a vulnerability in the Apache...

www.wordfence.com