GX Support
Nederlands English (US)

Artikelen in deze sectie

Zie meer

CVE-2022-42889 in Apache Commons Text library (Text4Shell / Text2Shell / Act4Shell)

Avatar
Remco de Waard
  • Bijgewerkt
Volgen

CVE-2022-42889

Laatste nieuws (16:10)

  • De kern van XperienCentral is niet kwetsbaar
  • Alle maatwerkcode van de installaties die GX in het beheer heeft, zijn gecontroleerd en er zijn geen CVE-2022-42889 kwetsbaarheden gevonden. 
  • Het is wel mogelijk dat eigen ontwikkeld maatwerk kwetsbaar is. Er is een manier om dat zelf te controleren, zie de update van 15:10u

Achtergrond

CVE-2022-42889 is een kwetsbaarheid in de veelgebruikte Apache Commons Text library. Deze kan misbruikt worden via het uitvoeren van code door kwaadwillende invoer. Op 18 oktober 2022 is deze kwetsbaarheid door het Nationaal Cyber Security Centrum gepubliceerd en bij GX gemeld.

Vergelijking met Log4Shell

Het issue wordt op social media vergeleken met de Log4Shell kwetsbaarheid. Uit analyse blijkt echter (op het moment van schrijven) dat deze niet dezelfde impact lijkt te hebben als de Log4Shell kwetsbaarheid. We hebben gemerkt dat deze kwetsbaarheid online ook wel "Text4Shell", "Act4Shell" of "Text2Shell" genoemd wordt, omdat het hetzelfde type misbruikbare code heeft als Log4Shell. Wees je ervan bewust dat er (in positieve zin) grote verschillen zijn.

Technische details

De kwetsbaarheid ontstaat door een onveilige implementatie van de "variable interpolation functionality" van Commons Text. Sommige standaard lookup strings kunnen mogelijk niet-vertrouwde invoer van aanvallers op afstand accepteren. Denk daarbij aan DNS-verzoeken, URL's of inline scripts.

Bron: https://nvd.nist.gov/vuln/detail/CVE-2022-42889

-Tijdlijn-

18 oktober 2022, 10:24 uur

Melding ontvangen.

10:54

Eerste melder geïnformeerd over het gestarte onderzoek vanuit Product, Systeembeheer, Consultancy, Data Protection Officer en Customer Services. GX Software onderzoekt de impact van de melding en of deze van impact is op XperienCentral. 

11:32

Start van dit artikel in het Engels en Nederlands. Via deze pagina houden we je op de hoogte van ons onderzoek, resultaten, aanbevelingen en handelingen.

11:38

Het is nog onbekend of deze kwetsbaarheid van impact is voor XperienCentral. Zodra hier meer over bekend is, komt inhoudelijke informatie op deze plek.

11:43

Apache Solr lijkt doorgaans een kwetsbare versie te gebruiken van de plugin waar CVE-2022-42889 in voorkomt. Echter, we hebben geconstateerd dat Solr in XperienCentral géén gebruik maakt van de twee specifieke kwetsbare methodes.

12:05

De kwetsbare plugin bevindt zich eveneens in de Modulaire Content-functionaliteit van XperienCentral.  Echter, ook hier is géén gebruik gemaakt van de code waar de kwetsbaarheden zijn geconstateerd. 

12:28

De broncode van XperienCentral is gescand op het gebruik van de kwetsbare plugin-versies. In XperienCentral zijn twee versies aanwezig. 

  1. Eén versie is opgenomen in Apache Solr (de zoekmachine van XperienCentral). Apache geeft op hun beurt geen meldingen over de CVE. Verder is de broncode van Solr doorzocht. Daarin zijn vervolgens géén referenties gevonden naar de kwetsbare methoden, zoals ze genoemd staan op https://nitter.it/i/status/1582051770884272129.
  2. Een andere versie van de kwetsbare plugin zit ingesloten in de Modulaire Content Addon van XperienCentral. Daar helpt het starten van de import en export van content en heeft daarom een onderlinge afhankelijk met Solr. Ook hier zien we dat de kwetsbare plugin daar niet direct gebruikt is (en bij de analyse van Solr bleek er al geen risico te zijn).

Tenslotte is onze eigen XperienCentral testomgeving gescand op aanwezigheid van de kwetsbare plugin versies. Buiten de hierboven genoemde locaties is de genoemde plugin niet aangetroffen.

Conclusie tot dusver: XperienCentral is tot op heden niet kwetsbaar gebleken voor CVE-2022-42889

13:01

Het is mogelijk de de kwetsbaarheid zich bevindt in ontwikkeld maatwerk. Om dit uit te sluiten hebben de GX-architecten het verzoek gekregen om per direct het aanwezige maatwerk te controleren op de installaties waar ze verantwoordelijk voor zijn. 

14:16

Alle architecten worden geïnformeerd.

15:02

Er is intern een technische briefing voor hoe te controleren of het maatwerk in XperienCentral vatbaar is voor CVE-2022-42889. Deze briefing is de basis waarop architecten (maar ook partners of organisaties die zelf maatwerk voor XperienCentral schrijven) hun check kunnen doen. Deze briefing verschijnt hier spoedig.

15:10 - hoe maatwerk controleren

Als je zelf maatwerk ontwikkelt

Er zijn verschillende mogelijkheden om te controleren of het ontwikkelde maatwerk in XperienCentral vatbaar is voor CVE-2022-42889. De eerste stap is het controleren op de aanwezigheid van de plugin in XperienCentral. Dit kan op twee manieren:

Mogelijkheid 1 (zelf te controleren)

Doorzoek de maatwerkcode voor plugins die een afhankelijkheid (dependency) hebben op org.apache.commons.text versies 1.5 t/m 1.9. Zo’n afhankelijk ziet er bijvoorbeeld als volgt uit:

XML:

<dependency>
  <groupId>org.apache.commons</groupId>
  <artifactId>commons-text</artifactId>
  <version>1.6</version>
  <scope>provided</scope>
</dependency>

Echter, om zekerheid te krijgen is mogelijkheid 2 beter.

Mogelijkheid 2 (contact Customer Services)

Het is ook mogelijk om het bestandssysteem, van de server waarop XperienCentral geïnstalleerd is, te scannen. Als dit gewenst is, neem dan contact op met Customer Services. We leveren deze instructies dan op maat. Een systeembeheerder kan deze instructies eenvoudig opvolgen. 

  • Let op: Als je op deze manier naar de aanwezigheid van de plugin zoekt zul je referenties in deze plugin vinden naar de webmanager-solr-bundle plugin en de wmamodularcoontentimportexport plugin. Deze plugins zijn eerder vandaag gecontroleerd (berichten van 11:43 en 12:05) en zijn niet vatbaar voor deze kwetsbaarheid.

Als (met de stappen van Customer Services) bekend is welke plugins afhankelijk zijn van commons-text, is het vervolgens van belang om te kijken of deze plugins ook echt daadwerkelijk kwetsbaar zijn.

Als de plugin een afhankelijkheid heeft op een andere versie van commons-text dan 1.5 t/m 1.9, dan is deze niet kwetsbaar. Als de plugin wél een versie van 1.5 t/m 1.9 gebruikt, controleer dan de code. Maakt deze gebruik één van de volgende methoden?

  1. StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()
  2. StringSubstitutor.createInterpolator().replace();

Bron: https://nitter.it/i/status/1582051770884272129

Let op: De methode-aanroepen hoeven niet perse exact zo in de code opgenomen te zijn. Methode 2 kan ook in de code opgenomen zijn als:

StringSubstitutor interpolator = StringSubstitutor.createInterpolator();
interpolator.replace(<input>);

Conclusie: op het moment dat de maatwerk code...

  1. gebruikt maakt van één van deze methoden, én
  2. de input hiervan door een eindgebruiker in te voeren is...

...loopt u risico op misbruik. In dit geval is het raadzaam om de afhankelijkheid in de relevante plugins te updaten naar versie 1.10 van commons-text waarin deze kwetsbaarheid is opgelost.

Meer informatie: https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/.

16:51

Customer Services bereidt stappen voor om organisaties persoonlijk te informeren over de te nemen stappen. Verwacht later vandaag een bericht van je contactpersoon met verder informatie. 

17:49

Customer Services heeft alle CISO's (Chief Information Security Officer; verantwoordelijk voor het informatiebeveiligingsbeleid vanuit een organisatie) op de hoogte gebracht van de laatste informatie en de geplande stappen van GX. Twijfel je op eigen titel of je jouw organisatie op de hoogte gebracht is, neem dan contact op met de CISO van je organisatie. Lukt dat om redenen niet, dan kun je ook met Customer Services afstemmen.

19 oktober 09:47

GX architecten hebben gezamenlijk overleg gehad en een belangrijke nadruk die we willen leggen is dat de kwetsbaarheid zich in de Apache Commons Text library zit maar zolang de kwetsbare methode niet aangeroepen wordt, ben je niet kwetsbaar. Daarnaast zien we dat Solr bezig is met het maken van een patch voor de kwetsbaarheid. Zodra die patch klaar is, verwerken we deze in de volgende versie van XperienCentral en kunnen we naar wens installaties patchen. Nogmaals ten overvloede: tot op heden is de kern van XperienCentral niet kwetsbaar bevonden.

11:31

Bijna de helft van de organisaties zijn gecontroleerd door de verantwoordelijke architecten. Bij geen van deze organisaties zijn kwetsbaarheden aangetroffen op het door GX ontwikkelde maatwerk.

14:42

96,7% van de organisaties zijn gecontroleerd. Tot op heden zijn er geen kwetsbaarheden gevonden in het door GX ontwikkelde maatwerk.

20 oktober 07:56

99,2% van de organisaties zijn gecontroleerd. Geen kwetsbaarheden gevonden in het maatwerk van GX.

10:08

Verwacht onze slotverklaring rond 11:00 uur.

10:32 - Slotverklaring

100% van de organisaties is gecontroleerd. Alle maatwerkcode van de installaties die GX in het beheer heeft, zijn gecontroleerd en er zijn geen kwetsbaarheden gevonden.

10:41

Customer Services start nu de procedure om alle organisaties te informeren over de slotverklaring en de genomen stappen. Verwacht later deze ochtend je persoonlijke bericht en wij verwachten vóór het einde van de dag iedereen op de hoogte te hebben gebracht. De berichtgeving verloopt via je CISO die op 18 oktober tussen 16:50 en 17:50 ook de geadresseerde was voor onze berichtgeving. Heb je al eerder vragen of heb je een situatie die niet kan wachten, stel ze dan aan Customer Services.

14:03

De CISO's van alle organisaties hebben een bericht ontvangen van Customer Services. Mocht je het bericht gemist hebben of eveneens geïnteresseerd zijn:

Twee dagen geleden, op 18 oktober, brachten we je op de hoogte van een mogelijke kwetsbaarheid in de Apache Commons Text (te weten CVE-2022-42889). Gelukkig konden we binnen een snelle 2 uur concluderen dat deze kwetsbaarheid zich niet voordeed in de kern van XperienCentral. Daarnaast wilden we volledig uitsluiten dat deze kwetsbaarheid zich voordeed in het ontwikkelde maatwerk dat GX in het verleden (eventueel) gebouwd heeft voor je XC installatie. We kunnen bevestigen dat er geen kwetsbaarheden zijn aangetroffen.

16:05 - Conclusie

  • De kern van XperienCentral is niet kwetsbaar voor CVE-2022-42889 in Apache Commons Text library, ook wel bekend als Text4Shell / Text2Shell / Act4Shell.
  • Hetzelfde geldt voor maatwerkcode dat GX ontwikkeld heeft; dit is gecontroleerd door architecten en de kwetsbaarheid is niet aangetroffen. 

Hierbij sluiten we ook dit live-blog. Heb je desondanks nog informatie van GX nodig, neem dan contact op met Customer Services.

Verwante artikelen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.