Công ty bảo mật wordpress Wordfence hôm thứ Năm cho biết họ bắt đầu phát hiện các nỗ lực khai thác nhắm vào lỗ hổng mới được tiết lộ trong Apache Commons Text vào ngày 18 tháng 10 năm 2022.
Lỗ hổng bảo mật, được theo dõi là CVE-2022-42889 hay còn gọi là Text4Shell, đã được xếp hạng mức độ nghiêm trọng là 9,8 trên 10,0 có thể có trên thang điểm CVSS và ảnh hưởng đến các phiên bản 1.5 đến 1.9 của thư viện.
Nó cũng tương tự như lỗ hổng Log4Shell nổi tiếng hiện nay ở chỗ vấn đề bắt nguồn từ cách thức thay thế chuỗi được thực hiện trong quá trình tra cứu DNS, tập lệnh và URL có thể dẫn đến việc thực thi mã tùy ý trên các hệ thống nhạy cảm khi chuyển đầu vào không đáng tin cậy.
Việc khai thác thành công lỗ hổng này có thể cho phép kẻ đe dọa mở kết nối ngược với ứng dụng dễ bị tấn công đơn giản thông qua trọng tải được chế tạo đặc biệt, mở ra cánh cửa hiệu quả cho các cuộc tấn công tiếp theo.
Mặc dù sự cố ban đầu được báo cáo vào đầu tháng 3 năm 2022, Apache Software Foundation (ASF) đã phát hành phiên bản cập nhật của phần mềm (1.10.0) vào ngày 24 tháng 9, sau đó đưa ra lời khuyên chỉ vào tuần trước vào ngày 13 tháng 10.
“May mắn thay, không phải tất cả người dùng của thư viện này đều bị ảnh hưởng bởi lỗ hổng này – không giống như Log4J trong lỗ hổng Log4Shell, lỗ hổng này dễ bị tấn công ngay cả trong các trường hợp sử dụng cơ bản nhất,” nhà nghiên cứu Yaniv Nizry của Checkmarx cho biết.
“Apache Commons Text phải được sử dụng theo một cách nhất định để làm lộ diện tấn công và làm cho lỗ hổng có thể bị khai thác.”
Wordfence cũng nhắc lại rằng khả năng khai thác thành công bị hạn chế đáng kể trong phạm vi so với Log4j, với hầu hết các trọng tải được quan sát cho đến nay được thiết kế để quét các cài đặt dễ bị tấn công.
Nhà nghiên cứu Ram Gall của Wordfence cho biết: “Một nỗ lực thành công sẽ dẫn đến việc trang web nạn nhân thực hiện một truy vấn DNS tới miền lắng nghe do kẻ tấn công kiểm soát”.
Nếu có bất cứ điều gì, sự phát triển này là một dấu hiệu khác về các rủi ro bảo mật tiềm ẩn do phụ thuộc nguồn mở của bên thứ ba gây ra, đòi hỏi các tổ chức phải thường xuyên đánh giá bề mặt tấn công của họ và thiết lập các chiến lược quản lý bản vá phù hợp.
Người dùng phụ thuộc trực tiếp vào Apache Commons Text được khuyến nghị nâng cấp lên phiên bản cố định để giảm thiểu các mối đe dọa tiềm ẩn. Theo Maven Repository, có tới 2.593 dự án sử dụng thư viện Apache Commons Text.
Lỗ hổng Apache Commons Text cũng theo sau một điểm yếu bảo mật quan trọng khác đã được tiết lộ trong Apache Commons Configuration vào tháng 7 năm 2022 (CVE-2022-33980, điểm CVSS: 9,8), có thể dẫn đến việc thực thi mã tùy ý thông qua chức năng nội suy biến.
