黑客开始利用关键的” Text4Shell ” Apache Commons文本漏洞

WordPress安全公司Wordfence周四表示，已于2022年10月18日开始检测针对Apache Commons Text新披露缺陷的利用尝试。

该漏洞被跟踪为CVE – 2022 – 42889 aka Text4Shell，在CVSS量表的可能10.0中被分配了9.8的严重性排名，并影响到库的1.5到1.9版本。

这也类似于现在臭名昭著的Log4Shell漏洞，因为该问题的根源在于DNS、脚本和URL查找过程中进行的字符串替换可能导致在传递不可信输入时在易受攻击的系统上执行任意代码。

Zscaler ThreatLabZ团队解释说，攻击者可以通过”脚本”、” dns “和” url “查找远程发送精心编制的负载来实现任意远程代码执行。

成功利用该漏洞可使威胁行为体仅通过巧尽心思构建的有效载荷即可打开与易受攻击应用程序的反向外壳连接，从而有效地打开后续攻击的大门。

虽然该问题最初是在2022年3月初报道的，但Apache软件基金会( Apache Software Foundation，ASF )在9月24日发布了软件的更新版本( 1.10.0 )，随后仅在上周的10月13日发布了咨询。

  Checkmarx的研究员Yaniv Nizry说：”幸运的是，并不是这个库的所有用户都会受到这个漏洞的影响- -与Log4Shell漏洞中的Log4j不同，即使在最基本的用例中，它也是脆弱的。”

” Apache Commons Text必须以某种方式使用，以暴露攻击面，使漏洞可被利用”。

  Wordfence公司还重申，与Log4j相比，成功利用的可能性在范围上受到很大限制，迄今为止所观察到的大部分有效载荷都是为了扫描脆弱的安装。

  Wordfence研究员Ram Gall说，成功的尝试将导致受害者网站对攻击者控制的侦听器域进行DNS查询，添加带有脚本和URL前缀的请求的数量相对较低。

开发还是第三方开放源码依赖所带来的潜在安全风险的另一个迹象，这就要求组织定期评估其攻击面并制定适当的补丁管理策略。

对于直接依赖Apache Commons Text的用户，建议升级到固定版本以缓解潜在威胁。根据Maven Repository，多达2，593个项目使用该库，尽管闪点指出，其中很少有项目使用易受攻击的方法。

  Apache Commons Text漏洞也是遵循Apache Commons Configuration在2022年7月( CVE-2022-33980 , CVSS评分: 9.8)中披露的另一个关键安全缺陷，该缺陷可能导致通过变量插值功能执行任意代码。