Este 19 de Octubre se detectó a nivel mundial una falla de ejecución remota de código en la biblioteca Apache Commons Text de código abierto que tiene a algunas organizaciones preocupadas de que pueda convertirse en el próximo Log4Shell.
El equipo de Dynatrace analizó cada aparición de la biblioteca vulnerable Apache Commons Text y ninguno de los componentes de la plataforma Dynatrace se vio afectado. La aplicación de parches a la biblioteca está en curso y el equipo de Dynatrace está revisando activamente la vulnerabilidad de Apache Commons Text recientemente publicada (CVE-2022-42889).
Apache Commons Text es una biblioteca popular Java de código abierto con un “sistema de interpolación” que permite a los desarrolladores modificar, decodificar, generar y escapar cadenas en función de las búsquedas de cadenas ingresadas.
La nueva vulnerabilidad CVE-2022-42889 en Apache Commons Text, denominada «Text4Shell», es causada por una evaluación de secuencias de comandos insegura por parte del sistema de interpolación que podría desencadenar la ejecución de código al procesar entradas maliciosas en la configuración predeterminada de la biblioteca.
Hasta la fecha, Dynatrace no ha visto evidencia de que esta vulnerabilidad haya sido explotada. Dynatrace Application Security valida continuamente que cualquier aparición de la biblioteca Apache Commons Text vulnerable se detecte y solucione rápidamente en todos los sistemas de producción.
Dynatrace continuará evaluando la situación y brindando más actualizaciones de estado.
Alejo López, Director Regional de Dynatrace para México comentó: “El descubrimiento de CVE-2022-4288rovocó comparaciones iniciales con Log4Shell, ya que comparte las características de ser una vulnerabilidad de ejecución remota de código en una biblioteca Java de código abierto. Sin embargo, el análisis indica que la vulnerabilidad de Apache Commons Text no está tan extendida y es mucho más difícil de explotar que Log4Shell. Aunque la calificación de gravedad de NVD se informa como 9.8, la vulnerabilidad se está reanalizando. Otras agencias han calificado a CVE-2022-42889 como menos grave, porque la biblioteca no es tan ubicua y la vulnerabilidad es más difícil de explotar que otras vulnerabilidades similares. De cualquier manera, las organizaciones deberían actualizar a la última versión de la biblioteca (1.10.0) para abordar el problema, pero es poco probable que veamos el nivel de pánico que vimos con Log4Shell.”
“La realidad es que muchos equipos de seguridad probablemente esperaban que sucediera algo así. Saben que las aplicaciones actuales contienen innumerables vulnerabilidades, provocadas por la creciente dependencia del código fuente abierto. La forma más efectiva de responder a estas situaciones es que las organizaciones se aseguren de que pueden responder tres preguntas simples en momentos: ¿Estamos afectados? ¿Qué sistemas se ven afectados? ¿Qué problemas debo abordar primero? Eso solo es posible combinando la observabilidad con la vulnerabilidad automática en tiempo real y la evaluación del impacto del riesgo. Esto proporciona visibilidad de todas las aplicaciones, bibliotecas y código en producción y preproducción. Al combinar este contexto con la IA, las organizaciones pueden priorizar las alertas en tiempo real, en función de la gravedad con la que les afecta una vulnerabilidad en particular. Esto permite a los equipos tomar decisiones basadas en datos sobre cómo resolver fallas de seguridad, lo que ayuda a minimizar su riesgo”, concluyó López.
