La compañía de seguridad de WordPress, Wordfence, dijo el jueves que comenzó a detectar intentos de explotación dirigidos a la falla recientemente revelada en Texto de Apache Commons el 18 de octubre de 2022.
La vulnerabilidad, rastreada como CVE-2022-42889 alias Text4Shellse le ha asignado una clasificación de gravedad de 9,8 de un posible 10,0 en la escala CVSS y afecta a las versiones 1.5 a 1.9 de la biblioteca.
También es similar a la ahora infame vulnerabilidad Log4Shell en que el tema tiene sus raíces en la manera sustituciones de cadenas llevado a cabo durante Búsquedas de DNS, secuencias de comandos y URL podría conducir a la ejecución de código arbitrario en sistemas susceptibles al pasar una entrada que no es de confianza.
A explotación exitosa de la falla puede permitir que un actor de amenazas abra una conexión de shell inversa con la aplicación vulnerable simplemente a través de una carga útil especialmente diseñada, abriendo efectivamente la puerta para ataques de seguimiento.
Mientras que la tema fue original reportado a principios de marzo de 2022, Apache Software Foundation (ASF) lanzó un Versión actualizada del software (1.10.0) el 24 de septiembre, seguido de emitiendo un aviso solo la semana pasada el 13 de octubre.
«Afortunadamente, no todos los usuarios de esta biblioteca se verían afectados por esta vulnerabilidad, a diferencia de Log4J en la vulnerabilidad Log4Shell, que era vulnerable incluso en sus casos de uso más básicos», dijo el investigador de Checkmarx, Yaniv Nizry. dijo.
«Apache Commons Text debe usarse de cierta manera para exponer la superficie de ataque y hacer que la vulnerabilidad sea explotable».
Wordfence también reiteró que la probabilidad de una explotación exitosa tiene un alcance significativamente limitado en comparación con Log4j, con la mayoría de las cargas útiles observadas hasta ahora diseñadas para buscar instalaciones vulnerables.
«Un intento exitoso daría como resultado que el sitio de la víctima realice una consulta de DNS al dominio de escucha controlado por el atacante», Ram Gall, investigador de Wordfence. dijoagregar solicitudes con prefijos de secuencias de comandos y URL ha sido comparativamente más bajo en volumen.
En todo caso, el desarrollo es otra indicación de los posibles riesgos de seguridad que plantean las dependencias de código abierto de terceros, lo que requiere que las organizaciones evalúen de forma rutinaria su superficie de ataque y establezcan estrategias de administración de parches adecuadas.
Los usuarios que tienen dependencias directas en Apache Commons Text son recomendado para actualizar a la versión fija para mitigar posibles amenazas. De acuerdo a Repositorio Mavenhasta 2593 proyectos utilizan la biblioteca Apache Commons Text.
La falla de Apache Commons Text también sigue a otra debilidad de seguridad crítica que se reveló en Configuración de Apache Commons en julio de 2022 (CVE-2022-33980puntaje CVSS: 9.8), lo que podría resultado en la ejecución de código arbitrario a través de la funcionalidad de interpolación variable.