Text4Shell : une faille de sécurité critique dans la bibliothèque Apache Commons Text
Depuis quelques jours, une nouvelle vulnérabilité dans la bibliothèque Apache Commons Text et surnommée Text4Shell fait beaucoup parler d'elle ! Et, elle n'est pas sans rappeler une faille de sécurité qui a beaucoup fait parler d'elle l'année dernière : Log4Shell.
Cette nouvelle alerte a été émise le 18 octobre 2022 par l'entreprise Wordfence, spécialisée dans la protection de sites WordPress, après avoir détecté de nombreuses tentatives d'attaques qui tentaient d'exploiter la faille de sécurité CVE-2022-42889. Cette vulnérabilité se situe dans Apache Commons Text et elle hérite d'un score CVSSv3 de 9,8 sur 10 !
Tout d'abord, qu'est-ce qu'Apache Commons Text ? À ne pas confondre avec le serveur web Apache2 (ouf, j'en vois qui sont déjà soulagés), il s'agit d'une bibliothèque Java open source qui est utilisé par les développeurs pour manipuler des chaînes de caractères (de l'encodage, par exemple). De ce fait, peut-être que vous ne l'utilisez pas directement, mais qu'une application que vous utilisez s'appuie sur cette librairie, un peu dans le même esprit qu'avec la vulnérabilité Log4Shell, ce qui vous rend vulnérable.
La faille de sécurité "Text4Shell" affecte toutes les versions d'Apache Commons Text de la version 1.5 à la version 1.9. Pour être protégé, il faut utiliser la dernière version disponible : Apache Commons Text 1.10.0. L'Apache Software Foundation est informé de cette vulnérabilité depuis mars 2022 et elle a été corrigée le 24 septembre 2022.
Quels sont les risques ? Faut-il s'inquiéter ?
En exploitant cette faille de sécurité, un attaquant peut réussir à ouvrir un reverse shell au sein d'une application vulnérable, en utilisant un payload spécialement conçu pour l'attaque. Le pirate informatique peut aussi exécuter du code à distance sur le serveur vulnérable.
La bonne nouvelle avec Text4Shell, en comparaison de Log4Shell, c'est que tout le monde n'est pas vulnérable puisque cela dépend de l'utilisation qui est faite de la bibliothèque. On peut dire que la situation n'est pas aussi critique. Yaniv Nizry, chercheur en sécurité chez Checkmarx précise : "Heureusement, tous les utilisateurs de cette bibliothèque ne seraient pas affectés par cette vulnérabilité - contrairement à Log4j dans la vulnérabilité Log4Shell, qui était vulnérable même dans ses cas d'utilisation les plus basiques".
Plusieurs milliers de projets utilisent cette librairie, comme on peut le voir en faisant une recherche sur le site Maven Repository. On peut citer le serveur CAS de chez Apereo, par exemple. Le plus sûr reste d'installer la version la plus récente pour se protéger. N'hésitez pas également à vérifier s'il y a une nouvelle mise à jour disponible au niveau de vos applicatifs.
