GitHub的威胁分析师Alvaro Munoz披露了一个远程代码执行漏洞

GitHub的威胁分析师Alvaro Munoz本周在开源的Apache Commons Text库中披露了一个远程代码执行漏洞，被追踪为CVE – 2022 – 42889 ( CVSS评分9.8)。Apache Commons Text是一个专注于处理字符串的算法的库。

该漏洞被称为” Text4Shell “，是由插值系统引起的不安全脚本评估问题。攻击者可以利用该漏洞在处理库的默认配置中的恶意输入时触发代码执行。

 ” StringSubstitutor与默认的插值器( StringSubstitutor.createInterpolator ( ) )一起使用时，会执行可能导致任意代码执行的字符串查找。”特别地，如果不可信数据流入StringSubstitutor . replace ( )或StringSubstitutor . replaceIn ( )方法，攻击者将能够使用ScriptStringLookup触发任意代码执行。

这个问题在9月24日发布Apache Commons Text 1.10.0时得到解决，新版本默认情况下禁用有问题的插值器。

 2022年10月17日，Wordfence威胁情报小组在我们的400万个网站的网络上开始监控针对CVE – 2022 – 42889或” Text4Shell “的活动。

从2022年10月18日开始，Wordfence研究人员开始看到针对其400万个网站网络的Text4Shell漏洞的活动。

 “我们看到的绝大多数请求都使用DNS前缀，并打算扫描易受攻击的安装- -一个成功的尝试将导致受害网站向攻击者控制的侦听域进行DNS查询。”

脚本前缀不太常见，是用来实现实际代码执行的方法。我们已经看到了各种各样的负载，但所有这些负载似乎也是为了将请求发回侦听器URL。

 url前缀是我们跟踪到的最不常见的前缀，其作用方式与dns前缀相同。

自10月18日以来，Wordfence研究人员观察到了大约40个IP地址的利用尝试。大多数尝试都是由安全研究人员进行的扫描，但其中一些可能是由威胁行为者进行的。

 Wordfence在这里共享了正在使用的IP地址和侦听器主机列表。