De acordo com a empresa de segurança WordPress Defiant, já foram feitas tentativas de explorar uma nova vulnerabilidade no Apache Commons Text (CVE-2022-42889). Chamado Text4Shell e afeta versões 1.5 para 1.9 da biblioteca. Alguns acreditam que este problema pode se tornar o novo Log4Shell. A questão marcou 9.8 fora de 10 na escala de classificação de vulnerabilidade CVSS.
Deixe-me lembrá-lo que também escrevemos que o Grupo hacker chinês Panda Aquático explorações Log4Shell hackear instituições educacionais.
Emitir CVE-2022-42889 foi divulgado no início desta semana. Texto do Apache Commons é uma biblioteca Java de código aberto para manipulação de cadeias de caracteres. E de volta em março 2022, Laboratório de segurança GitHub especialista Álvaro Muñoz descoberto que a biblioteca era vulnerável a um Vulnerabilidade RCE relacionado ao tratamento de dados não confiável e interpolação variável.
Desenvolvedores do Apache Commons na semana passada, com o lançamento da versão 1.10.0, onde os interpoladores problemáticos foram desativados.
Como muitos desenvolvedores e organizações usam o Apache Commons Text, e a vulnerabilidade afeta até versões da biblioteca lançadas em 2018, alguns especialistas alertaram que o problema poderia se tornar um novo Log4Shell. Como resultado, CVE-2022-42889 foi chamado Text4Shell ou Act4Shell, mas logo ficou claro que tais preocupações eram provavelmente desnecessárias.
Em particular, analistas de Rápido7 publicaram sua análise do problema. Eles explicaram que nem todas as versões da biblioteca do 1.5 para 1.9 são vulneráveis, e o potencial de exploração está associado à versão do JDK utilizada. Eles também observam que não é totalmente correto comparar a nova vulnerabilidade com o Log4Shell.
Os pesquisadores testaram o Explorações de PoC em várias versões do JDK, e funcionou sem avisar apenas nas versões 9.0.4, 10.0.2, e 1.8.0_341. No entanto, deve-se notar que já foi apresentado um exploit PoC atualizado que funciona em todas as versões vulneráveis, e descobriu-se que JDK 15+ versões também são afetadas pelo bug.
Sophos especialistas também concordaram com colegas’ ponto de vista, quem disse que a vulnerabilidade é perigosa, mas atualmente, não é tão fácil usá-lo em servidores vulneráveis como o Log4Shell. E até o próprio Munoz, quem descobriu o bug, também explicou que, apesar da semelhança com Log4Shell, a nova vulnerabilidade provavelmente será generalizada e muito menos perigosa.
Isto é também a opinião da equipe de segurança do Apache, que afirmou que a escala do problema não é comparável ao Log4Shell, e a interpolação de strings é um recurso documentado. Aquilo é, é improvável que os aplicativos que usam a biblioteca passem inadvertidamente entradas inseguras sem validação.
No entanto, apesar de todos esses relatos de especialistas, Desafiador analistas avisou que os hackers já começaram a explorar CVE-2022-42889. A empresa monitorou 4,000,000 sites desde que o problema foi divulgado (Outubro 17) e agora relata que detectou tentativas de hacking originadas de aproximadamente 40 Endereços IP e começou em outubro 18. Até aqui, é apenas uma questão de inteligência.
Também deve ser observado que a biblioteca Apache Commons Text permanece vulnerável mesmo após a atualização para a versão 1.10.0, e a exploração do problema “depende de como é utilizado e não há garantias no uso inseguro da biblioteca dentro do seu produto ou de um pacote emprestado.”
