Recientemente, una falla de ejecución remota de código en la biblioteca Apache Common Text agitó el mundo de las noticias, ya que la gente lo consideró el próximo Log4Shell. Sin embargo, los investigadores confirman que este no es el caso, aunque los usuarios aún deben parchear sus sistemas para evitar vulnerabilidades.
Defecto de la biblioteca de texto de Apache Commons
La falla de Apache Commons Text Library RCE llamó la atención cuando un desarrollador la resaltó en una lista de correo de Apache. Apache Commons Text es una biblioteca Java dedicada de código abierto centrada en algoritmos que trabajan en cadenas.
Al describir la vulnerabilidad, CVE-2022-42889, el desarrollador dijo que con Apache Commons Text versión 1.5 y superior, un conjunto de instancias de búsqueda predeterminadas incluían interpoladores que permitían la ejecución de código arbitrario y conexiones a servidores remotos. Un adversario podría enviar entradas maliciosas, como consultas DNS o secuencias de comandos, que las cadenas de búsqueda podrían aceptar y procesar. Como indicado:
El formato de interpolación estándar es «${prefix:name}», donde «prefix» se usa para ubicar una instancia de org.apache.commons.text.lookup.StringLookup que realiza la interpolación. A partir de la versión 1.5 y hasta la versión 1.9, el conjunto de instancias de búsqueda predeterminado incluía interpoladores que podían provocar la ejecución de código arbitrario o el contacto con servidores remotos. Estas búsquedas son: – “script”: ejecuta expresiones utilizando el motor de ejecución de scripts JVM (javax.script) – “dns”: resuelve registros DNS – “url”: carga valores desde URL, incluso desde servidores remotos Aplicaciones que utilizan la interpolación predeterminada en las versiones afectadas puede ser vulnerable a la ejecución remota de código o al contacto no intencionado con servidores remotos si se utilizan valores de configuración que no son de confianza.
Apache corrigió la vulnerabilidad con la versión 1.10
Inicialmente, la vulnerabilidad parecía tan grave como el infame «Log4shell», una vulnerabilidad crítica en Apache Log4j que causó estragos el año pasado. Esto se debe a que Apache Commons Text también es una biblioteca de código abierto con una gran facilidad de uso.
Sin embargo, los investigadores de Rapid7 ahora han asegurado que el problema reciente (llamado «Text4Shell») no es tan grave. Como explican en su artículo, explotar la vulnerabilidad no es tan práctico en tiempo real como parece.
Además, mientras que Rapid7 inicialmente consideró que la falla no afectaba a las versiones de JDK, el investigador Álvaro Muñoz presentó una PoC que mostraba el caso contrario.
Hola Erik, recibí una pregunta sobre las versiones de JDK afectadas por esta vulnerabilidad. ¿Puede actualizar su publicación de blog para indicar claramente que todas las versiones de JDK son vulnerables? Nashorn en realidad no está disponible en los JDK modernos, pero JEXL sí lo está. pic.twitter.com/rY2J9VEZrX
— Álvaro Muñoz 🇺🇦 (@pwntester) 18 de octubre de 2022
Por lo tanto, el problema merece atención y vigilancia al reparar los sistemas, ya que aún pone en peligro la seguridad de muchos recursos.
La falla afecta a las versiones 1.5 a 1.9 de Commons Text. Apache solucionó el problema con la versión 1.10, que desactiva los interpoladores problemáticos. Por lo tanto, los usuarios deben actualizar a esta versión parcheada para eliminar todas las amenazas asociadas con un posible exploit de Text4shell.
Háganos saber sus pensamientos en los comentarios.
