HVA:

Biblioteket Apache Commons Text [1] som blir brukt for å håndtere og formattere tekst har blitt oppdatert for å deaktivere funksjoner som kan misbrukes.

REFERANSER:

NÅR:

Funksjonene som kan misbrukes har vært tilgjengelige og aktivert som standard fra og med versjon 1.5 (sept 2018) til og med versjon 1.9 (juli 2020). [3]

Ny versjon 1.10.0 ble gjort tilgjengelig sept 2022 [4]. Denne versjonen har de samme funksjonene tilgjengelige, men her er de deaktivert inntil en aktivt velger å ta disse i bruk.

HVOR:

Slike bibliotek blir tatt inn i mange verktøy, både open source og proprietære. Slik inkludering bør og skal være deklarert som del av lisens og / eller produktdokumentasjon men biblioteket vil typisk ikke være del av software inventory og vil ofte ikke bli oppdatert før løsningen biblioteket er brukt i publiserer ny versjon. 

På grunn av dette blir en nødt til å gjøre en manuell kartlegging av hvor biblioteket kan være brukt i miljøet. Husk at det kan være en del av alt fra lokalt installert programvare / Private Cloud løsning til Public Cloud og SaaS tjenester.

Arbeidet en gjorde i forbindelse med sårbarhet i Apache Log4j kan gjenbrukes, en må da være tydelig på at andre applikasjoner / tjenester / komponenter kan være berørt denne gang.

SANNSYNLIGHET:

Log4j som vi håndterte i 2021 ble brukt til å behandle veldig mye data en skulle sende til logger. Det kunne være User Agent fra nettleser, feilmeldinger fra virtuelle maskiner eller tekst skrevet inn i felt på søke-/påloggingsider.  Komponenten Apache Commons Text er ikke eksponert på samme måte men har, dersom den er tilgjengelig på riktig sted, potensiale til å ha samme konsekvens.

HVA KAN SKJE:

Funksjonene kan brukes til å ta full kontroll over systemet, les mer hos Apache Commons [5] og hos GitHub Security Lab som rapporterte feilen til Apache Commons [6]

HVA BØR DU GJØRE:

Netsecurity's anbefaling er å gjøre tiltak umiddelbart, viktigst av alt er å identifisere omfang / potensiale og

Prepare – Identifiser komponenter / programvare / tjenester som er berørt

• Besøk leverandørens nettsider for å se om de har vurdert og håndtert CVE-2022-42889

• Be evt leverandør om å bekrefte status på håndtering

• Ett tips er å søke på dine systemer etter filene commons-text-1.5.jar, commons-text-1.6.jar, commons-text-1.7.jar, commons-text-1.8.jar, commons-text-1.9.jar 

Identify – Sjekke om svakheten allerede har blitt utnyttet.

• Ett eksempel er å se etter bakdører som kan ha blitt installert av en angriper for å beholde fotfestet selv om sårbarheten skulle bli håndtert

 Containment - blokkering

• Begrense muligheten til å sende tekst inn mot denne funksjonen.
• Kreve autentisering og muligens også VPN før en får tilgang til berørte applikasjoner
• Aktivere regler som gjenkjenner og stanser forsøk på å utnytte svakhet

Eradication – oppdage / fjerne komponenter

• Flere leverandører av sikkerhetsprodukter vil kunne gjenkjenne og forsøke å fjerne komponenter som blir installert av angriper
• Vurder å bygge opp fra mal og sikkerhetskopi for å være sikker på at alle endringer angriper kan ha gjort er fjernet, pass på å fjerne sårbarhet før publisering

Recovery - gjenopprett til normal tilstand

Her antatt å gå fra tilstand SÅRBAR til BESKYTTET. Det vil være behov for flere aktiviteter dersom en avdekker at kompromittering har skjedd

• Snarest mulig: Oppdater berørte komponenter der dere har ansvar for dette selv
• Følg opp leverandører

Lessons learned – bruk denne hendelsen til å dokumentere og forbedre

• Scenario i beredskapsplan;
  Sårbarhet i programvare / komponenter som er del av Supply Chain.
• Katalog / inventory over programvare og komponenter.
  Husk å dokumentere systemansvarlige
• Rutine for å oppdatere komponenter. En hovedregel er å være oppdatert rimelig raskt, teste på en relevant gruppe før oppdatering publiseres til alle og ha plan for å rulle tilbake ved feil
  • Noen har aldri oppdatert til sårbar versjon (1.5 i 2018) og kan denne gang være fornøyd med at de ikke er på "bleeding edge" når det gjelder oppdateringer. Men ta da også inn i vurderingen at versjon 1.10 som lukket denne sårbarheten ikke hadde denne rettelsen markert i Release Notes.
  • Det ble mulig å lukke sårbarheten ved å oppdatere til 1.10 i september, de som oppdaterer "rimelig raskt" kan altså allerede være beskyttet.

I forbindelse med tilsvarende hendelse log4j i 2021 publiserte NSM / NCSC [7] og US CISA [8] generelle og gode råd rundt kartlegging og mitigering. 

KONTAKT MED NETSECURITY:

Ta gjerne kontakt med din kontaktperson i Netsecurity for mer informasjon og assistanse, se https://www.netsecurity.no/under-angrep. Vi kan bistå med å verifisere om du er sårbar eller allerede har blitt utsatt for angrep. Vi kan også gi råd / teknisk assistanse for å sikre din infrastruktur.

KILDER:

[1] Apache Commons Text hovedside; https://commons.apache.org/proper/commons-text/ 

[2] US NIST National Vulnerability Database ; https://nvd.nist.gov/vuln/detail/CVE-2022-42889 

[3] Apache Commons Text Release History; https://commons.apache.org/proper/commons-text/changes-report.html 

[4] Apache Commons Text v1.10 nedlasting - merk at det ofte vil være leverandør av programvare / tjeneste som leverer ny versjon med oppdaterte komponenter; https://commons.apache.org/proper/commons-text/download_text.cgi 

[5] Apache tråd rundt sårbarhet; https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om 

[6] Rapport med tidslinje fra GitHub Security lab som varslet om sårbarheten;  https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/ 

[7] Nasjonal sikkerhetsmyndighet – NCSC (Merk for tilsvarende hendelse med Log4j i 2021); https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/oppdatering-kritisk-sarbarhet-i-apache-log4j og https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/nyheter-fra-ncsc/samleside-for-log4j/advisory-log4j-cve-2021-44228 

[8] US CISA råd (Merk: For tilsvarende hendelse med Log4j i 2021); https://www.cisa.gov/uscert/ncas/alerts/aa21-356a

Endringslogg:

18-okt-2022 10.30: Første versjon publisert.