*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2022年10月20日付)を翻訳したものです。
Apache Commons Textの脆弱性(CVE-2022-42889)
オープンソースライブラリのApache Commons Textに影響を与える脆弱性(CVE-2022-42889)が、脆弱性研究者やメディア情報筋からかなりの注目を浴びています。これは、悪意を持つアクターによる任意のコード実行を可能にする恐れがある脆弱性です。
中には、この脆弱性を「Text4Shell」または「Act4Shell」と呼び、かの有名な脆弱性Log4Shellになぞらえる人々もいます。Log4Shellは昨年セキュリティチームを大混乱に陥らせた脆弱性で、今なおパッチを適用すべき重要な脆弱性であり続けています。しかし、本記事を公開する時点で、CVE-2022-42889がLog4Shellほど危険、もしくは広範な影響を及ぼすものであることを示す証拠は確認されていません。とはいえ、Apache Commons Textライブラリを使用している組織は、影響を受けたバージョンを実行してしまうことがないよう、システムのトリアージを行うべきです。
以下、Apache Commons Textの欠陥(CVE-2022-42889)についてわかっていることをまとめました。
CVE-2022-42889に対処するには?
CVE-2022-42889はライブラリ/フレームワークの脆弱性ではあるものの、セキュリティチームはこの問題をLog4Shellほど広範囲に影響を及ぼすものだと決めてかかるべきではありません。ただし私たちは、弊社の脆弱性インテリジェンスがこれとは正反対の事実を指し示した場合には、本記事をアップデートする予定です。
有効なPoCが存在してはいますが、リストアップされたプロジェクト2,591件のうち、脆弱なメソッドを使用するものはごくわずかしか存在しません。また、Log4Shellとは異なり、悪用にはおそらく特定のコードが必要になります。それでも組織にとっては、Apache Commons Textを使用する自組織のアプリケーションによってユーザーの制御下にある入力がパースされることがないようにしておくのが望ましいでしょう。
ソリューションは利用可能となっており、Apacheは以下のように述べています。
「…影響を受けるバージョンは、信頼されていない構成値が使用されている場合、リモートコード実行や、リモートサーバーとの意図しない接触に対して脆弱である可能性がある。ユーザーに対しては、文字列補間機能における問題部分をデフォルトで無効化してあるApache Commons Text 1.10.0へのアップグレードが推奨される。」- APACHE
「4Shell」と名付けるべき脆弱性にあらず
メディアは、Log4Shellに匹敵する、あるいはそれを上回る脆弱性を報じることに固執しているようです。しかし、一部の研究者も、「4Shell」という名称を借用することに等しく執着しているように見受けられます。このことは、業界や実務者にとって有害です。なぜなら、これによりセンセーショナルな報道がなされ、ひいては混乱やパニックが引き起こされることになるためです。
3月に「SpringShell」(CVE-2022-22965)または「Spring4Shell」(CVE-2022-22963)が発表され、複数の記事で「次なるLog4Shell」として報じられた際にも、同様の事態が見受けられました。
これら2つの脆弱性は大きく異なるものですが、ネーミングが似ていることから、多くの人が知らず知らずのうちに1つの用語を使って両方の脆弱性に言及しようとしていた事実に留意しましょう。このことは、「重大な脆弱性が現れるたびに名前をつけてセンセーショナルに報道する」という行為に内在する問題の1つを物語っています。注目度と誇大な報道という点では、Text4ShellはSpringShellと非常によく似ています。SpringShellのセキュリティ業界に対する影響は過度に強調されましたが、その比較的特殊な性質が故、悪用することは困難でした。現在明らかになっている情報からは、Text4Shellがこれよりさらに特殊なものであることが示唆されています。
現時点では、「Text4Shellは次なる大規模な脆弱性事象ではない」、というのが一般的な見解です。
Flashpointで脆弱性の優先順位付けを効率的に
メディアで大きく取り上げられた脆弱性は、たいていの場合、最優先とみなされます。しかし、見出しを飾ったものすべてが優先すべき脆弱性であるとは限りません。リソースが不足し、時間がないセキュリティチームにとって、ある問題のリスクを適切に把握するためには、包括的な脆弱性インテリジェンスが必要です。弊社の「VulnDB」を使うことで、組織は、30万件以上の脆弱性の価値を即座に把握することができます。また、各エントリには、さまざまなIT、OT、IoT、およびサードパーティのライブラリや依存関係に関する既知の詳細情報が含まれています。今すぐ無料トライアルにお申し込みください。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
翻訳元サイト
Flashpoint, What You Need to Know About the Apache Commons Text Flaw (CVE-2022-42889)(October 20, 2022)