Công ty bảo mật WordPress Wordfence hôm thứ Năm cho biết họ bắt đầu phát hiện các nỗ lực khai thác nhắm vào lỗ hổng mới được tiết lộ trong Apache Commons Text vào ngày 18 tháng 10 năm 2022.
Lỗ hổng, được theo dõi là CVE-2022-42889 hay còn gọi là Text4Shell, đã được chỉ định xếp hạng mức độ nghiêm trọng là 9.8 trên 10.0 có thể có trên thang điểm CVSS và ảnh hưởng đến các phiên bản từ 1.5 đến 1.9 của thư viện.
Nó cũng tương tự như lỗ hổng Log4Shell khét tiếng hiện nay ở chỗ vấn đề bắt nguồn từ cách thay thế chuỗi được thực hiện trong quá trình tra cứu DNS, tập lệnh và URL có thể dẫn đến việc thực thi mã tùy ý trên các hệ thống nhạy cảm khi chuyển đầu vào không đáng tin cậy.
Việc khai thác thành công lỗ hổng có thể cho phép tác nhân đe dọa mở kết nối vỏ ngược với ứng dụng dễ bị tấn công chỉ đơn giản thông qua tải trọng được chế tạo đặc biệt, mở ra hiệu quả cánh cửa cho các cuộc tấn công tiếp theo.
Trong khi vấn đề ban đầu được báo cáo vào đầu tháng 3 năm 2022 1.10.0, Apache Software Foundation (ASF) đã phát hành phiên bản cập nhật của phần mềm (1.10.0) vào ngày 24 tháng 9, tiếp theo là chỉ đưa ra lời khuyên vào tuần trước vào ngày 13 tháng 10.
"May mắn thay, không phải tất cả người dùng thư viện này sẽ bị ảnh hưởng bởi lỗ hổng này - không giống như Log4J trong lỗ hổng Log4Shell, vốn dễ bị tấn công ngay cả trong các trường hợp sử dụng cơ bản nhất của nó," nhà nghiên cứu Yaniv Nizry của Checkmarx cho biết.
"Apache Commons Text phải được sử dụng theo một cách nhất định để phơi bày bề mặt tấn công và làm cho lỗ hổng có thể khai thác được."
Wordfence cũng nhắc lại rằng khả năng khai thác thành công bị hạn chế đáng kể về phạm vi khi so sánh với Log4j, với hầu hết các tải trọng được quan sát cho đến nay được thiết kế để quét các cài đặt dễ bị tấn công.
"Một nỗ lực thành công sẽ dẫn đến việc trang web nạn nhân thực hiện truy vấn DNS đến miền người nghe do kẻ tấn công kiểm soát," nhà nghiên cứu Ram Gall của Wordfence cho biết, thêm các yêu cầu có tiền tố tập lệnh và URL có khối lượng tương đối thấp hơn.
Nếu có bất cứ điều gì, sự phát triển là một dấu hiệu khác cho thấy những rủi ro bảo mật tiềm ẩn do các phụ thuộc nguồn mở của bên thứ ba gây ra, đòi hỏi các tổ chức phải thường xuyên đánh giá bề mặt tấn công của họ và thiết lập các chiến lược quản lý bản vá thích hợp.
Người dùng có phụ thuộc trực tiếp vào Apache Commons Text được khuyến nghị nâng cấp lên phiên bản cố định để giảm thiểu các mối đe dọa tiềm ẩn. Theo Maven Repository, có tới 2.593 dự án sử dụng thư viện Apache Commons Text.
Lỗ hổng Văn bản Apache Commons cũng theo sau một điểm yếu bảo mật nghiêm trọng khác đã được tiết lộ trong Cấu hình Apache Commons vào tháng 7 năm 2022 9.8 (CVE-2022-33980, điểm CVSS: 9,8), có thể dẫn đến thực thi mã tùy ý thông qua chức năng nội suy biến.