Según la firma de seguridad de WordPress Defiant, Ya se han hecho intentos de explotar una nueva vulnerabilidad en Apache Commons Text (CVE-2022-42889). Se llama Text4Shell y afecta a las versiones. 1.5 a 1.9 de la biblioteca. Algunos creen que este problema podría convertirse en el nuevo Log4Shell. El tema puntuado 9.8 fuera de 10 en la escala de calificación de vulnerabilidad CVSS.
Permítanme recordarles que también escribimos que el grupo de piratería chino Panda acuático hazañas Log4Shell hackear instituciones educativas.
Asunto CVE-2022-42889 fue revelado a principios de esta semana. Texto de Apache Commons es una biblioteca Java de código abierto para manipular cadenas de caracteres. Y de regreso en marzo 2022, Laboratorio de seguridad de GitHub experto Alvaro Muñoz descubierto que la biblioteca era vulnerable a una Vulnerabilidad ICE relacionado con el manejo de datos poco confiable y la interpolación de variables.
Desarrolladores de Apache Commons la semana pasada, con el lanzamiento de la versión 1.10.0, donde los interpoladores problemáticos fueron desactivados.
Dado que muchos desarrolladores y organizaciones utilizan Apache Commons Text, y la vulnerabilidad incluso afecta a las versiones de la biblioteca publicadas en 2018, Algunos expertos advirtieron que el problema podría convertirse en un nuevo Log4Shell. Como resultado, CVE-2022-42889 fue nombrado Texto4Shell o Act4Shell, pero pronto quedó claro que tales preocupaciones probablemente eran innecesarias.
En particular, analistas de rápido7 publicó su análisis del problema. Explicaron que no todas las versiones de la biblioteca de 1.5 a 1.9 son vulnerables, y el potencial de explotación está asociado con la versión del JDK utilizado. También señalan que no es del todo correcto comparar la nueva vulnerabilidad con Log4Shell..
Los investigadores probaron el Explotaciones de PoC en varias versiones del JDK, y funcionó sin previo aviso sólo en las versiones 9.0.4, 10.0.2, y 1.8.0_341. Sin embargo, Cabe señalar que ya se presentó un exploit PoC actualizado que funciona en todas las versiones vulnerables., y resultó que JDK 15+ Las versiones también se ven afectadas por el error..
Sofos Los expertos también estuvieron de acuerdo con sus colegas.’ Punto de vista, ¿Quién dijo que la vulnerabilidad es peligrosa?, pero en la actualidad, No es tan fácil usarlo en servidores vulnerables como Log4Shell.. Y hasta el propio Muñoz, quien descubrió el error, también explicó que, a pesar de la similitud con Log4Shell, Es probable que la nueva vulnerabilidad sea generalizada y mucho menos peligrosa..
Esto es también la opinión del equipo de seguridad de Apache, quien afirmó que la magnitud del problema no es comparable a Log4Shell, y la interpolación de cadenas es una característica documentada. Eso es, es poco probable que las aplicaciones que utilizan la biblioteca pasen inadvertidamente entradas no seguras sin validación.
Sin embargo, a pesar de todos estos informes de especialistas, Desafiante analistas prevenido que los hackers ya han comenzado a explotar CVE-2022-42889. La empresa ha monitoreado 4,000,000 sitios desde que se reveló el problema (Octubre 17) y ahora informa que ha detectado intentos de piratería que se originan en aproximadamente 40 Direcciones IP y comenzó en octubre. 18. Hasta ahora, solo se trata de inteligencia.
También cabe señalar que la biblioteca de texto Apache Commons sigue siendo vulnerable incluso después de actualizar a la versión 1.10.0, y la explotación del problema «Depende de cómo se use y no hay garantías en el uso inseguro de la biblioteca dentro de su producto o en un paquete prestado.»