黑客开始利用关键的“Text4Shell”Apache Commons Text 漏洞

WordPress 安全公司 Wordfence 周四表示，它于2022 年 10 月 18 日开始检测针对Apache Commons Text中新披露的漏洞的利用尝试。

该漏洞被跟踪为CVE-2022-42889 aka Text4Shell，在 CVSS 等级上的严重性等级为 9.8（满分为 10.0），并影响库的 1.5 至 1.9 版本。

它也类似于现在臭名昭著的Log4Shell漏洞，因为该问题的根源在于在DNS、脚本和 URL 查找期间执行的字符串替换方式可能导致在传递不受信任的输入时在易受攻击的系统上执行任意代码。

成功利用该漏洞可以使威胁参与者仅通过特制的有效负载打开与易受攻击的应用程序的反向 shell 连接，从而有效地为后续攻击打开大门。

虽然该问题最初是在 2022 年 3 月上旬报告的，但 Apache 软件基金会 (ASF) 于 9 月 24 日发布了该软件的更新版本(1.10.0)，随后仅在上周的 10 月 13 日才发布了公告。

“幸运的是，并不是这个库的所有用户都会受到这个漏洞的影响——这与 Log4Shell 漏洞中的 Log4J 不同，即使在最基本的用例中也很容易受到攻击，”Checkmarx 研究员 Yaniv Nizry说。

“必须以某种方式使用 Apache Commons Text 来暴露攻击面并使漏洞可被利用。”

Wordfence 还重申，与 Log4j 相比，成功利用的可能性在范围上非常有限，迄今为止观察到的大多数有效载荷都旨在扫描易受攻击的安装。

“成功的尝试将导致受害者站点向攻击者控制的侦听器域进行 DNS 查询，”Wordfence 研究员 Ram Gall说，添加带有脚本和 URL 前缀的请求的数量相对较少。

如果有的话，这种发展是第三方开源依赖项带来的潜在安全风险的另一个迹象，需要组织定期评估他们的攻击面并设置适当的补丁管理策略。

建议直接依赖 Apache Commons Text 的用户升级到固定版本以减轻潜在威胁。据Maven Repository称，多达 2,593 个项目使用该库，尽管 Flashpoint指出列出的项目中很少有人使用易受攻击的方法。

Apache Commons Text 漏洞还遵循 2022 年 7 月在 Apache Commons Configuration 中披露的另一个严重安全漏洞（CVE-2022-33980，CVSS 分数：9.8），这可能导致通过变量插值功能执行任意代码。