Dopo Spring 4Shell e Log4Shell è stata scoperta una nuova vulnerabilità critica CVE-2022-42889 in Apache, denominata Text4shell.
Si tratta di una vulnerabilità classificata con gravità critica 9,8 ed è sempre un’esecuzione di codice in modalità remota (RCE) che consente agli aggressori di eseguire codice arbitrario sul computer e compromettere l’intero host.
Ben Todd, Senior Director, Security, EMEA di Dynatrace, commenta:
“La scoperta di CVE-2022-42889 ha suscitato paragoni iniziali con Log4Shell, poiché condivide la caratteristica di essere una vulnerabilità sfruttabile per eseguire codice da remoto in una libreria Java open source. Tuttavia, l’analisi indica che la nuova vulnerabilità di Apache Commons Text non è così diffusa ed è molto più difficile da sfruttare rispetto a Log4Shell. Sebbene la valutazione di gravità di NVD sia riportata come 9,8, la vulnerabilità è in fase di rianalisi. Altre agenzie hanno classificato CVE-2022-42889 come meno grave, perché la libreria non è così diffusa e la vulnerabilità è più difficile da sfruttare rispetto ad altre vulnerabilità simili. In ogni caso, le organizzazioni dovrebbero aggiornare all’ultima versione della libreria (1.10.0) per risolvere il problema, ma è improbabile che si verifichi il livello di panico che abbiamo visto con Log4Shell”.
“La realtà è che molti team di sicurezza probabilmente si aspettavano un problema del genere. Sanno che le applicazioni di oggi contengono innumerevoli vulnerabilità, causate dalla crescente dipendenza dal codice open source. Il modo più efficace per rispondere a queste situazioni”, continua Ben Todd, “è che le organizzazioni si assicurino di poter rispondere in pochi istanti a tre semplici domande: Siamo colpiti? Quali sistemi sono interessati? Quali problemi devo affrontare per primi?”.
“Questo è possibile solo abbinando l’osservabilità alla valutazione automatica e in tempo reale dell’impatto delle vulnerabilità e dei rischi. Ciò fornisce visibilità su tutte le applicazioni, le librerie e il codice in produzione e preproduzione. Combinando questo contesto con l’intelligenza artificiale, le organizzazioni possono dare priorità agli avvisi in tempo reale, in base all’impatto di una particolare vulnerabilità. In questo modo”, conclude Ben Todd, “i team possono prendere decisioni basate sui dati per la risoluzione delle falle di sicurezza, contribuendo a ridurre al minimo i rischi”.
