Questa settimana è balzata agli onori della cronaca una vulnerabilità recentemente patchata nella libreria Apache Commons Text. Denominata Text4Shell o Act4Shell, la vulnerabilità sta suscitando reazioni sconcertanti da parte delle comunità di sicurezza e tecnologiche, forse a causa del suo nome e del fatto che, come Log4Shell, risiede in un altro strumento open-source basato su Java. Tuttavia, gli esperti suggeriscono che è troppo presto per dirlo. Tracciato come CVE-2022-42889, Text4Shell è stato scoperto dal ricercatore dei GitHub Security Labs Alvaro Muñoz nel marzo 2022. Apache Commons Text è una libreria open-source utilizzata nel modo in cui Java gestisce le stringhe (oggetti che rappresentano sequenze di caratteri o valori char). Contiene diversi metodi e pacchetti di utilità che offrono manipolazioni algoritmiche del testo legate alle stringhe e altre funzionalità, come il calcolo delle differenze (o somiglianze) tra le stringhe, la traduzione e altri modi di gestire il testo. Muñoz ha riassunto Text4Shell come “gli interpolatori predefiniti di StringSubstitutor possono portare alla valutazione di script non sicuri e all’esecuzione di codice arbitrario”. In altre parole, l’interpolatore StringSubstitutor, che consente la valutazione e il recupero di una stringa di input, può eseguire codice in modo arbitrario e da remoto perché alcuni lookup predefiniti possono accettare input non attendibili e dannosi. L’Apache Software Foundation ha osservato: “Il formato standard per l’interpolazione è ‘${prefix:name}’, dove ‘prefix’ è usato per individuare un’istanza di org.apache.commons.text.lookup.StringLookup che esegue l’interpolazione. L’insieme delle istanze predefinite di Lookup includeva interpolatori che potevano portare all’esecuzione di codice arbitrario o al contatto con server remoti”.
I lookup predefiniti che potrebbero consentire a un utente malintenzionato di eseguire codice sono script (che consente l’esecuzione di espressioni), dns (utilizzato per risolvere record dns) e url (utilizzato per caricare valori da url). “Le funzioni dns, script e url sono particolarmente pericolose, perché potrebbero portare a dati non attendibili, ricevuti dall’esterno della rete ma elaborati o registrati su uno dei server della logica aziendale all’interno della rete”, ha spiegato Paul Ducklin, principal research scientist di Sophos. Quindi, se un aggressore esegue un comando utilizzando il dns lookup seguito dalla stringa dell’indirizzo web, può mappare l’intera rete interna del suo obiettivo. CVE-2022-42889, o Text4Shell, ha un punteggio CVSS pari a 9,8 su 10. Colpisce le versioni di Apache Commons Text dalla 1.5 alla 1.9 e il suo proof of concept è pubblicamente disponibile, anche se non sono ancora stati registrati casi di sfruttamento. La ricerca ha anche rivelato che lo sfruttamento di Text4Shell è possibile su alcune versioni di JDK (1.8.0_341, 9.0.4, 10.0.2. 11.0.16.1, 12.0.2, 13.0.2, 14.0.2) ma non su tutte. L’exploit è fallito sulle versioni JDK 15.0.2, 16.0.2, 17.0.4.1, 18.0.2.1, 19. È vero che la catena di fornitura del software dipende in qualche modo da Apache Commons Text. Tuttavia, gli esperti di sicurezza sottolineano che l’uso dell’interpolatore StringSubstitutor non è così diffuso (a differenza del sostituto di stringhe in Log4j), rendendo il confronto poco ponderato. “Sebbene ci sia stata una certa preoccupazione iniziale da parte dell’industria per il fatto che sia del calibro di Log4shell, la realtà è che non è altrettanto diffuso o sfruttabile. La classe/metodo coinvolto in questa vulnerabilità è raramente utilizzato e una rapida ricerca su GitHub mostra pochissimi programmi open source che utilizzano il metodo vulnerabile e la maggior parte di quelli che lo utilizzano non analizzano l’input controllato dall’utente”, ha dichiarato a Spiceworks David Lindner, CISO di Contrast Security. Una rapida ricerca su Maven Repository rivela che 2.591 progetti hanno una dipendenza da Apache Commons Text.
Lindner ha aggiunto: “Da quello che abbiamo visto finora, questo CVE sembra più che altro uno sviluppatore che aggiunge una backdoor. Non sono preoccupato che questo possa portare a molto, perché non è come Log4j, dove un’applicazione raccoglie input controllati dall’utente e li registra, cosa che potrebbe portare allo sfruttamento della vulnerabilità log4shell”. Anche Erick Galinkin, ricercatore principale di intelligenza artificiale di Rapid7, giunge a una conclusione simile. “L’analisi iniziale indica che questo [Text4Shell to Log4Shell] è un paragone sbagliato. La natura della vulnerabilità significa che, a differenza di Log4Shell, sarà raro che un’applicazione utilizzi il componente vulnerabile di Commons Text per elaborare input non attendibili e potenzialmente dannosi”. Come parte degli sforzi di mitigazione, si raccomanda agli amministratori di aggiornare ad Apache Commons Text 1.10.0. Oltre all’aggiornamento alla versione patchata, Ducklin consiglia agli amministratori di sanificare gli input per filtrare i dati non attendibili e di ricontrollare se ci sono dipendenze di rete o di applicazione da Apache Commons Text. “Abbiamo scoperto che Contrast Protect blocca l’attacco”, ha dichiarato Lindner. Text4Shell è la seconda vulnerabilità di Apache Commons scoperta nel 2022. In precedenza, per Apache Commons Configuration era stata individuata la CVE-2022-33980, anch’essa una vulnerabilità di esecuzione di codice remoto abilitata dall’uso di ConfigurationInterpolator con lookup di variabili predefinite per l’interpolazione.
