Biblioteket Apache Commons Text [1] som blir brukt for å håndtere og formattere tekst har blitt oppdatert for å deaktivere funksjoner som kan misbrukes.
Funksjonene som kan misbrukes har vært tilgjengelige og aktivert som standard fra og med versjon 1.5 (sept 2018) til og med versjon 1.9 (juli 2020). [3]
Ny versjon 1.10.0 ble gjort tilgjengelig sept 2022 [4]. Denne versjonen har de samme funksjonene tilgjengelige, men her er de deaktivert inntil en aktivt velger å ta disse i bruk.
Slike bibliotek blir tatt inn i mange verktøy, både open source og proprietære. Slik inkludering bør og skal være deklarert som del av lisens og / eller produktdokumentasjon men biblioteket vil typisk ikke være del av software inventory og vil ofte ikke bli oppdatert før løsningen biblioteket er brukt i publiserer ny versjon.
På grunn av dette blir en nødt til å gjøre en manuell kartlegging av hvor biblioteket kan være brukt i miljøet. Husk at det kan være en del av alt fra lokalt installert programvare / Private Cloud løsning til Public Cloud og SaaS tjenester.
Arbeidet en gjorde i forbindelse med sårbarhet i Apache Log4j kan gjenbrukes, en må da være tydelig på at andre applikasjoner / tjenester / komponenter kan være berørt denne gang.
Log4j som vi håndterte i 2021 ble brukt til å behandle veldig mye data en skulle sende til logger. Det kunne være User Agent fra nettleser, feilmeldinger fra virtuelle maskiner eller tekst skrevet inn i felt på søke-/påloggingsider. Komponenten Apache Commons Text er ikke eksponert på samme måte men har, dersom den er tilgjengelig på riktig sted, potensiale til å ha samme konsekvens.
Funksjonene kan brukes til å ta full kontroll over systemet, les mer hos Apache Commons [5] og hos GitHub Security Lab som rapporterte feilen til Apache Commons [6]
Netsecurity's anbefaling er å gjøre tiltak umiddelbart, viktigst av alt er å identifisere omfang / potensiale og
Besøk leverandørens nettsider for å se om de har vurdert og håndtert CVE-2022-42889
Be evt leverandør om å bekrefte status på håndtering
Ett tips er å søke på dine systemer etter filene commons-text-1.5.jar, commons-text-1.6.jar, commons-text-1.7.jar, commons-text-1.8.jar, commons-text-1.9.jar
Her antatt å gå fra tilstand SÅRBAR til BESKYTTET. Det vil være behov for flere aktiviteter dersom en avdekker at kompromittering har skjedd
I forbindelse med tilsvarende hendelse log4j i 2021 publiserte NSM / NCSC [7] og US CISA [8] generelle og gode råd rundt kartlegging og mitigering.
Ta gjerne kontakt med din kontaktperson i Netsecurity for mer informasjon og assistanse, se https://www.netsecurity.no/under-angrep. Vi kan bistå med å verifisere om du er sårbar eller allerede har blitt utsatt for angrep. Vi kan også gi råd / teknisk assistanse for å sikre din infrastruktur.
[1] Apache Commons Text hovedside; https://commons.apache.org/proper/commons-text/
[2] US NIST National Vulnerability Database ; https://nvd.nist.gov/vuln/detail/CVE-2022-42889
[3] Apache Commons Text Release History; https://commons.apache.org/proper/commons-text/changes-report.html
[4] Apache Commons Text v1.10 nedlasting - merk at det ofte vil være leverandør av programvare / tjeneste som leverer ny versjon med oppdaterte komponenter; https://commons.apache.org/proper/commons-text/download_text.cgi
[5] Apache tråd rundt sårbarhet; https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
[6] Rapport med tidslinje fra GitHub Security lab som varslet om sårbarheten; https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/
[7] Nasjonal sikkerhetsmyndighet – NCSC (Merk for tilsvarende hendelse med Log4j i 2021); https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/oppdatering-kritisk-sarbarhet-i-apache-log4j og https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/nyheter-fra-ncsc/samleside-for-log4j/advisory-log4j-cve-2021-44228
[8] US CISA råd (Merk: For tilsvarende hendelse med Log4j i 2021); https://www.cisa.gov/uscert/ncas/alerts/aa21-356a
18-okt-2022 10.30: Første versjon publisert.