黑客开始利用“关键”；文本4Shell”；Apache Commons文本漏洞

WordPress安全公司Wordfence周四表示，它开始检测针对最新披露的漏洞的攻击企图Apache Commons文本 on October 18, 2022.

该漏洞被追踪为CVE-2022-42889 aka文本4外壳，在CVSS等级表中可能为10.0，严重性等级为9.8，并影响库的1.5到1.9版本。

它还与现在臭名昭著的Log4Shell漏洞相似，因为该问题的根源在于在DNS、脚本和URL查找过程中执行的字符串替换可能导致在传递不可信输入时在易受影响的系统上执行任意代码。

Zscaler ThreadLabZ团队解释说：“攻击者可以使用‘script’、‘dns’和‘url’查找远程发送精心制作的有效负载，以实现任意远程代码执行”。

成功利用该漏洞可使威胁参与者仅通过特制的有效负载即可打开与易受攻击应用程序的反向外壳连接，从而有效地为后续攻击打开大门。

尽管该问题最初于2022年3月初报告，但Apache软件基金会（ASF）于9月24日发布了该软件的更新版本（1.10.0），随后仅在上周10月13日发布了一份咨询意见。

Checkmarx研究员Yaniv Nizry表示：“幸运的是，并不是这个库的所有用户都会受到这个漏洞的影响，这与Log4Shell漏洞中的Log4j不同，后者即使在最基本的使用情况下也很脆弱”。

“必须以某种方式使用Apache Commons文本，以暴露攻击表面并使漏洞可利用”。

Wordfence还重申，与Log4j相比，成功利用的可能性在范围上非常有限，迄今为止观察到的大多数有效载荷都是为了扫描易受攻击的安装。

Wordfence研究人员Ram Gall表示：“成功的尝试将导致受害站点向攻击者控制的侦听域进行DNS查询。”他补充道，带有脚本和URL前缀的请求量相对较低。

如果有的话，这一发展是第三方开源依赖性带来的潜在安全风险的又一个迹象，需要组织定期评估其攻击面并制定适当的补丁管理策略。

建议直接依赖Apache Commons Text的用户升级到固定版本，以减轻潜在威胁。根据Maven Repository的数据，多达2593个项目使用了该库，尽管Flashpoint指出，列出的项目中很少有项目使用了易受攻击的方法。

Apache Commons文本漏洞还遵循了2022年7月在Apache Commons配置中披露的另一个关键安全漏洞（CVE-2022-33980，CVSS评分：9.8），这可能导致通过变量插值功能执行任意代码。