Skip to main content

    HVA:

    Biblioteket Apache Commons Text [1] som blir brukt for å håndtere og formattere tekst har blitt oppdatert for å deaktivere funksjoner som kan misbrukes.

    REFERANSER:

    CVE-2022-42889 med CVSS 3.0 Score 9.8 [2]; Apache Commons Text RCE when applied to untrusted input due to insecure interpolation defaults

    NÅR:

    Funksjonene som kan misbrukes har vært tilgjengelige og aktivert som standard fra og med versjon 1.5 (sept 2018) til og med versjon 1.9 (juli 2020). [3]

    Ny versjon 1.10.0 ble gjort tilgjengelig sept 2022 [4]. Denne versjonen har de samme funksjonene tilgjengelige, men her er de deaktivert inntil en aktivt velger å ta disse i bruk.

    HVOR:

    Slike bibliotek blir tatt inn i mange verktøy, både open source og proprietære. Slik inkludering bør og skal være deklarert som del av lisens og / eller produktdokumentasjon men biblioteket vil typisk ikke være del av software inventory og vil ofte ikke bli oppdatert før løsningen biblioteket er brukt i publiserer ny versjon. 

    På grunn av dette blir en nødt til å gjøre en manuell kartlegging av hvor biblioteket kan være brukt i miljøet. Husk at det kan være en del av alt fra lokalt installert programvare / Private Cloud løsning til Public Cloud og SaaS tjenester.

    Arbeidet en gjorde i forbindelse med sårbarhet i Apache Log4j kan gjenbrukes, en må da være tydelig på at andre applikasjoner / tjenester / komponenter kan være berørt denne gang.

    SANNSYNLIGHET:

    Log4j som vi håndterte i 2021 ble brukt til å behandle veldig mye data en skulle sende til logger. Det kunne være User Agent fra nettleser, feilmeldinger fra virtuelle maskiner eller tekst skrevet inn i felt på søke-/påloggingsider.  Komponenten Apache Commons Text er ikke eksponert på samme måte men har, dersom den er tilgjengelig på riktig sted, potensiale til å ha samme konsekvens.

    HVA KAN SKJE:

    Funksjonene kan brukes til å ta full kontroll over systemet, les mer hos Apache Commons [5] og hos GitHub Security Lab som rapporterte feilen til Apache Commons [6]

    HVA BØR DU GJØRE:

    Netsecurity's anbefaling er å gjøre tiltak umiddelbart, viktigst av alt er å identifisere omfang / potensiale og

    Prepare – Identifiser komponenter / programvare / tjenester som er berørt
    • Besøk leverandørens nettsider for å se om de har vurdert og håndtert CVE-2022-42889

    • Be evt leverandør om å bekrefte status på håndtering

    • Ett tips er å søke på dine systemer etter filene commons-text-1.5.jar, commons-text-1.6.jar, commons-text-1.7.jar, commons-text-1.8.jar, commons-text-1.9.jar 

    Identify – Sjekke om svakheten allerede har blitt utnyttet.
    • Ett eksempel er å se etter bakdører som kan ha blitt installert av en angriper for å beholde fotfestet selv om sårbarheten skulle bli håndtert
     Containment - blokkering
    • Begrense muligheten til å sende tekst inn mot denne funksjonen.
    • Kreve autentisering og muligens også VPN før en får tilgang til berørte applikasjoner
    • Aktivere regler som gjenkjenner og stanser forsøk på å utnytte svakhet
    Eradication – oppdage / fjerne komponenter
    • Flere leverandører av sikkerhetsprodukter vil kunne gjenkjenne og forsøke å fjerne komponenter som blir installert av angriper
    • Vurder å bygge opp fra mal og sikkerhetskopi for å være sikker på at alle endringer angriper kan ha gjort er fjernet, pass på å fjerne sårbarhet før publisering
    Recovery - gjenopprett til normal tilstand

    Her antatt å gå fra tilstand SÅRBAR til BESKYTTET. Det vil være behov for flere aktiviteter dersom en avdekker at kompromittering har skjedd

    • Snarest mulig: Oppdater berørte komponenter der dere har ansvar for dette selv
    • Følg opp leverandører
    Lessons learned – bruk denne hendelsen til å dokumentere og forbedre
    • Scenario i beredskapsplan;
      Sårbarhet i programvare / komponenter som er del av Supply Chain.
    • Katalog / inventory over programvare og komponenter.
      Husk å dokumentere systemansvarlige
    • Rutine for å oppdatere komponenter. En hovedregel er å være oppdatert rimelig raskt, teste på en relevant gruppe før oppdatering publiseres til alle og ha plan for å rulle tilbake ved feil
      • Noen har aldri oppdatert til sårbar versjon (1.5 i 2018) og kan denne gang være fornøyd med at de ikke er på "bleeding edge" når det gjelder oppdateringer. Men ta da også inn i vurderingen at versjon 1.10 som lukket denne sårbarheten ikke hadde denne rettelsen markert i Release Notes.
      • Det ble mulig å lukke sårbarheten ved å oppdatere til 1.10 i september, de som oppdaterer "rimelig raskt" kan altså allerede være beskyttet.

    I forbindelse med tilsvarende hendelse log4j i 2021 publiserte NSM / NCSC [7] og US CISA [8] generelle og gode råd rundt kartlegging og mitigering. 

    KONTAKT MED NETSECURITY:

    Ta gjerne kontakt med din kontaktperson i Netsecurity for mer informasjon og assistanse, se https://www.netsecurity.no/under-angrep. Vi kan bistå med å verifisere om du er sårbar eller allerede har blitt utsatt for angrep. Vi kan også gi råd / teknisk assistanse for å sikre din infrastruktur.

    KILDER:

    [1] Apache Commons Text hovedside; https://commons.apache.org/proper/commons-text/ 

    [2] US NIST National Vulnerability Database ; https://nvd.nist.gov/vuln/detail/CVE-2022-42889 

    [3] Apache Commons Text Release History; https://commons.apache.org/proper/commons-text/changes-report.html 

    [4] Apache Commons Text v1.10 nedlasting - merk at det ofte vil være leverandør av programvare / tjeneste som leverer ny versjon med oppdaterte komponenter; https://commons.apache.org/proper/commons-text/download_text.cgi 

    [5] Apache tråd rundt sårbarhet; https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om 

    [6] Rapport med tidslinje fra GitHub Security lab som varslet om sårbarheten;  https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/ 

    [7] Nasjonal sikkerhetsmyndighet – NCSC (Merk for tilsvarende hendelse med Log4j i 2021); https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/oppdatering-kritisk-sarbarhet-i-apache-log4j og https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/nyheter-fra-ncsc/samleside-for-log4j/advisory-log4j-cve-2021-44228 

    [8] US CISA råd (Merk: For tilsvarende hendelse med Log4j i 2021); https://www.cisa.gov/uscert/ncas/alerts/aa21-356a

    Endringslogg:

    18-okt-2022 10.30: Første versjon publisert.

    Oslo

    Drammensveien 288

    0283 Oslo

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Trondheim

    Krambugata 2

    7011 Trondheim

    Stockholm

    Kammakargatan 22

    111 40 Stockholm