Text4Shell: cos'è la vulnerabilità di Apache. È pericolosa?

Ci ricordiamo tutti dell’enorme eco che ha avuto la scoperta della falla Log4Shell che ancora oggi torna spesso a far parlare di sé per via della stretta integrazione di un componente come Apache Log4j, piattaforma di log basata su Java, in molteplici applicazioni.

Anche questa volta si era pensato a un problema di sicurezza di impatto potenzialmente devastante, come nel caso di Log4Shell.
Questa volta, infatti, è stata scoperta una grave vulnerabilità nella popolare libreria open source Apache Commons Text che aiuta gli sviluppatori ad effettuare il cosiddetto escaping delle stringhe di testo adattando i caratteri ricevuti in ingresso dall’applicazione.

Ad esempio, passando la stringa seguente come input ${base64Decoder:Q2lhb01vbmRvIQ==}, la libreria Commons Text di Apache restituisce la stringa CiaoMondo! a partire dalla codifica Base64.

La vulnerabilità appena scoperta, alla quale è stato assegnato l’identificativo CVE-2022-42889 è stata denominata Text4Shell ed è causata dall’elaborazione di script non sicuri da parte della libreria di Apache. Facendo leva su questo problema di sicurezza i criminali informatici possono disporre l’esecuzione di codice dannoso.

Il problema è stato scoperto dall’analista Alvaro Munoz e segnalato ad Apache il 9 marzo 2022. Gli sviluppatori hanno impiegato circa 7 mesi, fino al 12 ottobre 2022, per rilasciare la libreria Apache Commons Text 1.10.0 che integra la patch correttiva.

Posto che gli sviluppatori vengono a questo punto invitati a verificare quale versione della libreria stanno utilizzando per poi applicare l’aggiornamento 1.10.0, gli esperti di Rapid7 hanno accertato che non tutte le versioni precedenti della libreria Commons Text sono vulnerabili e che la possibilità che il bug venga effettivamente sfruttato è collegata con la versione di JDK (Java Development Kit) in uso.
Su GitHub è stato pubblicato un plugin per Burp Suite che permette di scovare l’eventuale utilizzo di versioni potenzialmente pericolose della libreria Apache.

Dynatrace, per bocca di Ben Todd, Senior Director, Security, EMEA dell’azienda, ha spiegato che la vulnerabilità insita in Apache Commons Text è molto più difficile da sfruttare rispetto a Log4Shell.
Il National Vulnerability Database (NVD) ha al momento valutato la vulnerabilità con un punteggio estremamente critico (9,8 su una scala di 10) ma il giudizio è al momento in fase di revisione.

Todd aggiunge che i team che si occupano di sicurezza si aspettano problemi di questo tipo: “sanno che le applicazioni di oggi contengono innumerevoli vulnerabilità, causate dalla crescente dipendenza dal codice open source. Il modo più efficace per rispondere a queste situazioni è che le organizzazioni si assicurino di poter rispondere in pochi istanti a tre semplici domande: siamo colpiti? Quali sistemi sono interessati? Quali problemi devo affrontare per primi?”

Dare risposta a questi quesiti, si spiega ancora da Dynatrace, è possibile solo abbinando l’osservabilità alla valutazione automatica e in tempo reale dell’impatto delle vulnerabilità e dei rischi. In questo modo si può guadagnare visibilità su tutte le applicazioni, le librerie e il codice in produzione e preproduzione.
“Combinando questo contesto con l’intelligenza artificiale, le organizzazioni possono dare priorità agli avvisi in tempo reale, in base all’impatto di una particolare vulnerabilità. I team possono così prendere decisioni basate sui dati per la risoluzione delle falle di sicurezza, contribuendo a ridurre al minimo i rischi“, conclude Todd.