黑客开始利用关键的Text4ShellApache Commons Text 漏洞

网络安全取证（一）定义和概念模型

网络安全取证（二）定义和概念模型之定义

网络安全取证（三）定义和概念模型之概念模型

网络安全取证（四）定义和概念模型之概念模型

网络安全取证（五）定义和概念模型之概念模型

网络安全取证（六）定义和概念模型之取证流程

网络安全取证（七）操作系统分析

网络安全取证（八）操作系统分析之存储取证

网络安全取证（九）操作系统分析之文件系统分析

WordPress 安全公司 Wordfence 周四表示，它于2022 年 10 月 18 日开始检测针对Apache Commons Text中新披露的漏洞的利用尝试。

该漏洞被跟踪为CVE-2022-42889 aka Text4Shell，在 CVSS 等级上的严重性等级为 9.8（满分为 10.0），并影响库的 1.5 至 1.9 版本。

它也类似于现在臭名昭著的Log4Shell漏洞，因为该问题的根源在于在DNS、脚本和 URL 查找期间执行的字符串替换方式可能导致在传递不受信任的输入时在易受攻击的系统上执行任意代码。

成功利用该漏洞可以使威胁参与者仅通过特制的有效负载打开与易受攻击的应用程序的反向 shell 连接，从而有效地为后续攻击打开大门。

虽然该问题最初是在 2022 年 3 月上旬报告的，但 Apache 软件基金会 (ASF) 于 9 月 24 日发布了该软件的更新版本(1.10.0)，随后仅在上周的 10 月 13 日才发布了公告。

“幸运的是，并不是这个库的所有用户都会受到这个漏洞的影响——这与 Log4Shell 漏洞中的 Log4J 不同，即使在最基本的用例中也很容易受到攻击，”Checkmarx 研究员 Yaniv Nizry说。

“必须以某种方式使用 Apache Commons Text 来暴露攻击面并使漏洞可被利用。”

Wordfence 还重申，与 Log4j 相比，成功利用的可能性在范围上非常有限，迄今为止观察到的大多数有效载荷都旨在扫描易受攻击的安装。

“成功的尝试将导致受害者站点向攻击者控制的侦听器域进行 DNS 查询，”Wordfence 研究员 Ram Gall说，添加带有脚本和 URL 前缀的请求的数量相对较少。

如果有的话，这种发展是第三方开源依赖项带来的潜在安全风险的另一个迹象，需要组织定期评估他们的攻击面并设置适当的补丁管理策略。

建议直接依赖 Apache Commons Text 的用户升级到固定版本以减轻潜在威胁。据Maven Repository称，多达 2,593 个项目使用该库，尽管 Flashpoint指出列出的项目中很少有人使用易受攻击的方法。

Apache Commons Text 漏洞还遵循 2022 年 7 月在 Apache Commons Configuration 中披露的另一个严重安全漏洞（CVE-2022-33980，CVSS 分数：9.8），这可能导致通过变量插值功能执行任意代码。

CVE-2022-42889 详细信息

Apache Commons Text 执行变量插值，允许动态评估和扩展属性。插值的标准格式是“${prefix:name}”，其中“prefix”用于定位执行插值的 org.apache.commons.text.lookup.StringLookup 的实例。从 1.5 版到 1.9 版，默认 Lookup 实例集包括可能导致任意代码执行或与远程服务器联系的插值器。这些查找是：- “script” - 使用 JVM 脚本执行引擎 (javax.script) 执行表达式 - “dns” - 解析 dns 记录 - “url” - 从 url 加载值，包括来自远程服务器 如果使用了不受信任的配置值，则在受影响的版本中使用插值默认值的应用程序可能容易受到远程代码执行或与远程服务器的无意接触的影响。建议用户升级到 Apache Commons Text 1.10.0，默认情况下禁用有问题的插值器。

缓解措施：

升级到 Apache Commons Text 1.10.0

原文始发于微信公众号（河南等级保护测评）：黑客开始利用关键的“Text4Shell”Apache Commons Text 漏洞