WordPress güvenlik şirketi Wordfence Perşembe günü yaptığı açıklamada, yeni açıklanan kusuru hedef alan istismar girişimlerini tespit etmeye başladığını söyledi. Apache Commons Metni 18 Ekim 2022’de.
CVE-2022-42889 olarak da bilinen güvenlik açığı Text4ShellCVSS ölçeğinde olası 10.0 üzerinden 9.8’lik bir önem derecesine atanmıştır ve kitaplığın 1.5 ila 1.9 sürümlerini etkiler.
Aynı zamanda, sorunun DNS, komut dosyası ve URL aramaları sırasında gerçekleştirilen dize değişimlerinin, güvenilmeyen girdiler iletilirken hassas sistemlerde rastgele kod yürütülmesine yol açma biçiminden kaynaklanmasıyla, şu anda kötü şöhretli Log4Shell güvenlik açığına benzer.
Kusurun başarılı bir şekilde kullanılması, bir tehdit aktörünün, yalnızca özel olarak hazırlanmış bir yük aracılığıyla savunmasız uygulama ile ters bir kabuk bağlantısı açmasını sağlayarak, takip eden saldırılar için etkili bir şekilde kapıyı açabilir.
iken sorun İlk olarak Mart 2022’nin başlarında bildirilmişti, Apache Software Foundation (ASF) 24 Eylül’de yazılımın güncellenmiş bir sürümünü (1.10.0) yayınladı ve ardından sadece geçen hafta 13 Ekim’de bir tavsiye yayınladı.
Checkmarx araştırmacısı Yaniv Nizry, “Neyse ki, en temel kullanım durumlarında bile savunmasız olan Log4Shell güvenlik açığındaki Log4J’den farklı olarak, bu kütüphanenin tüm kullanıcıları bu güvenlik açığından etkilenmeyecektir.” Dedi.
“Apache Commons Metni, saldırı yüzeyini ortaya çıkarmak ve güvenlik açığından yararlanılabilir hale getirmek için belirli bir şekilde kullanılmalıdır.”
Wordfence ayrıca, Log4j ile karşılaştırıldığında, başarılı bir istismar olasılığının kapsam açısından önemli ölçüde sınırlı olduğunu ve şimdiye kadar gözlemlenen yüklerin çoğunun savunmasız kurulumları taramak için tasarlandığını yineledi.
Wordfence araştırmacısı Ram Gall, “Başarılı bir girişim, kurban sitenin saldırgan tarafından kontrol edilen dinleyici etki alanına bir DNS sorgusu yapmasına neden olur,” dedi ve komut dosyası ve URL önekleri içeren isteklerin hacmi nispeten daha düşüktü.
Gelişme, üçüncü taraf açık kaynak bağımlılıklarının oluşturduğu potansiyel güvenlik risklerinin bir başka göstergesidir ve kuruluşların rutin olarak saldırı yüzeylerini değerlendirmesini ve uygun yama yönetimi stratejileri oluşturmasını gerektirir.
Apache Commons Text’e doğrudan bağımlı olan kullanıcıların, olası tehditleri azaltmak için sabit sürüme yükseltmeleri önerilir. Maven Deposu’na göre, 2.593 kadar proje Apache Commons Metin kitaplığını kullanıyor.
Apache Commons Metin kusuru, Temmuz 2022’de Apache Commons Yapılandırmasında açıklanan (CVE-2022-33980, CVSS puanı: 9.8), değişken enterpolasyon işlevi aracılığıyla rastgele kod yürütülmesine neden olabilecek başka bir kritik güvenlik zayıflığını da takip ediyor.