WordPress güvenlik şirketi Wordfence Perşembe günü yaptığı açıklamada, yeni açıklanan kusuru hedef alan istismar girişimlerini tespit etmeye başladığını söyledi. Apache Commons Metni 18 Ekim 2022’de.
Güvenlik açığı, şu şekilde izlendi: CVE-2022-42889 diğer adıyla Text4ShellCVSS ölçeğinde olası 10.0 üzerinden 9.8’lik bir önem derecesine atanmıştır ve kitaplığın 1.5 ila 1.9 sürümlerini etkiler.
Aynı zamanda, şu anda kötü şöhretli Log4Shell güvenlik açığına benzer: sorun şekilde köklenir dize ikameleri sırasında gerçekleştirilen DNS, komut dosyası ve URL aramaları güvenilmeyen girdileri geçirirken hassas sistemlerde rastgele kod yürütülmesine neden olabilir.
A kusurun başarılı bir şekilde kullanılması bir tehdit aktörünün, yalnızca özel olarak hazırlanmış bir yük aracılığıyla savunmasız uygulama ile ters kabuk bağlantısı açmasını sağlayarak, takip eden saldırılar için etkili bir şekilde kapıyı açabilir.
iken sorun aslen rapor edildi Mart 2022’nin başlarında, Apache Yazılım Vakfı (ASF) bir Güncellenmiş versiyon 24 Eylül’de yazılımın (1.10.0) bir tavsiye vermek sadece geçen hafta 13 Ekim’de.
Checkmarx araştırmacısı Yaniv Nizry, “Neyse ki, bu kütüphanenin tüm kullanıcıları bu güvenlik açığından etkilenmeyecek – Log4Shell güvenlik açığındaki Log4J’den farklı olarak, en temel kullanım durumlarında bile savunmasızdır.” söz konusu.
“Apache Commons Metni, saldırı yüzeyini ortaya çıkarmak ve güvenlik açığından yararlanılabilir hale getirmek için belirli bir şekilde kullanılmalıdır.”
Wordfence ayrıca, Log4j ile karşılaştırıldığında, başarılı bir istismar olasılığının kapsam açısından önemli ölçüde sınırlı olduğunu ve şimdiye kadar gözlemlenen yüklerin çoğunun savunmasız kurulumları taramak için tasarlandığını yineledi.
Wordfence araştırmacısı Ram Gall, “Başarılı bir girişim, kurban sitenin saldırgan tarafından kontrol edilen dinleyici etki alanına bir DNS sorgusu yapmasına neden olur.” söz konusukomut dosyası ve URL önekleri içeren isteklerin eklenmesi, hacim olarak nispeten daha düşük olmuştur.
Gelişme, üçüncü taraf açık kaynak bağımlılıklarının oluşturduğu potansiyel güvenlik risklerinin bir başka göstergesidir ve kuruluşların rutin olarak saldırı yüzeylerini değerlendirmesini ve uygun yama yönetimi stratejileri oluşturmasını gerektirir.
Apache Commons Metnine doğrudan bağımlılığı olan kullanıcılar, önerilen olası tehditleri azaltmak için sabit sürüme yükseltmek için. Göre Maven Deposu2.593 kadar proje Apache Commons Metin kitaplığını kullanıyor.
Apache Commons Metin kusuru, Temmuz 2022’de Apache Commons Yapılandırmasında açıklanan başka bir kritik güvenlik zayıflığını da takip ediyor (CVE-2022-33980CVSS puanı: 9.8), sonuç değişken enterpolasyon işlevi aracılığıyla rastgele kod yürütmede.
