□ 개요
문자열 작업을 위해 설계된 오픈 소스 자바 라이브러리 중 하나인 Apache Commons Text에서 원격 코드 실행 취약점(CVE-2022-42889, CVSS 9.8)이 발견되었다.
해당 취약점은 2022년 3월 9일에 GitHub의 위협 분석가인 Alvaro Munoz에 의해 아파치에 보고되었으며, 2022년 9월 24일에 배포된 1.10.0 버전에서 수정되었다.
작년 다수의 자바 제품에 영향을 미친 취약점인 Log4j 라이브러리의 취약점(Log4Shell)에서 이름을 따 “Text4Shell” 혹은 “Act4Shell”로 명명되었다.
초기에는 오픈소스 라이브러리로써 다양한 소프트웨어 응용프로그램에 영향을 미칠 가능성 때문에 Log4Shell과 같이 광범위한 피해를 일으킬 수 있다는 우려가 제기되었다. 하지만 Rapid7의 보고서에 따르면 Log4Shell과 달리, 신뢰할 수 없고 잠재적으로 악의적인 입력을 처리하기 위해 취약한 Commons Text의 구성요소를 사용하는 경우는 드물기 때문에 우려할만한 파급력은 아닐 것으로 전망된다.
□ 취약한 버전 및 패치 버전
취약한 버전의 Apache Commons Text 라이브러리에서 특정 기능을 사용하는 Java 제품이 취약점의 영향을 받는다. 따라서, 취약한 버전을 사용하는 경우 1.10.0 버전 이상으로 업그레이드할 것을 권고한다.
|
Product |
Vulnerable Versions |
Fixed Version |
|
Apache Commons Text |
1.5~1.9 |
1.10.0 |
□ PoC Test
취약한 환경의 도커 컨테이너(https://github.com/karthikuj/cve-2022-42889-text4shell-docker)에서 CVE-2022-42889 취약점 익스플로잇
| http://[Victim_URL]/attack?search=${script:javascript:java.lang.Runtime.getRuntime().exec('[RCE_Command]')} |
[표 1] CVE-2022-42889 공격 페이로드
[그림 1] 브라우저를 통한 공격 페이로드 전송
[그림 2] 피해 서버에서 익스플로잇 결과 확인
□ 취약점 스캔 도구
: Apache Commons Text 라이브러리의 취약 버전 탐색 용도
: 앱에서 CVE-2022-42889에 대해 패치되지 않은 컴포넌트 검색 가능
: 보안팀에서 취약한 text4shell 호스트를 스캔하는데 사용할 수 있음(waf 우회 기능 포함)
□ 참고사이트
- BleepingComputer, Apache Commons Text RCE flaw — Keep calm and patch away
- CVE-2022-42889: Keep Calm and Stop Saying "4Shell"
- CVE-2022-42889: Text4Shell, Critical Vulnerability in Apache Commons Text
보안관제센터 MIR Team