Er is een ernstige kwetsbaarheid ontdekt in Apache Commons Text. De beveiligingsfout is bekend onder de noemer CVE-2022-42889. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Omdat er een publieke exploitcode beschikbaar is gekomen die beschrijft hoe deze kwetsbaarheid misbruikt kan worden, heeft ook het NCSC de kwetsbaarheid ingeschaald als High/High; de kans op misbruik op korte termijn én de potentiële schade is groot.
Apache Foundation heeft beveiligingsupdates beschikbaar gesteld.
Wat is er aan de hand?
De beveiligingsfout stelt een ongeauthenticeerde aanvaller in staat om willekeurige code uit te voeren op kwetsbare systemen. Proof-of-Concept code is gepubliceerd die aantoont hoe kwetsbare functionaliteit kan worden misbruikt.
De kans bestaat dat er verhoogde media-aandacht rondom deze kwetsbaarheid zal ontstaan aangezien publieke bronnen deze kwetsbaarheid linken aan de Log4Shell-kwetsbaarheid van begin dit jaar. Ook heeft de kwetsbaarheid inmiddels al een soortgelijke naam gekregen namelijk Text4Shell. Hoewel de kwetsbaarheid overeenkomsten heeft, is volgens het NCSC het aanvalsoppervlak van deze kwetsbaarheid beperkter gezien de specifieke toepassing van Commons Text.
Wat kan je doen?
Voor nu is het advies om de beschikbare beveiligingsupdates te (laten) installeren als je gebruik maakt van Apache Commons Text. De kans is groot dat het voor jou als ondernemer lastig of zelfs onmogelijk is om te bepalen of je gebruik maakt van dit stuk software. Het is daarom aan te raden om dit te bespreken met je IT-dienstverlener.
Het DTC monitort de ontwikkelingen en zal wanneer dat mogelijk is dit artikel updaten en voorzien van nieuwe informatie. Voor de technische achtergrond en mogelijke updates rondom deze kwetsbaarheid is meer informatie te vinden op de pagina van Apache voor ontwikkelaars.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.