По данным компании Defiant, занимающейся безопасностью WordPress, уже замечены попытки эксплуатации новой уязвимости в Apache Commons Text (CVE-2022-42889). Некоторые специалисты считают, что эта проблема, получившая название Text4Shell и затрагивающая версии библиотеки с 1.5 по 1.9, может стать новой Log4Shell. Проблема получила 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS.
Информация о проблеме CVE-2022-42889 была раскрыта ранее на этой неделе. Apache Commons Text — это опенсорсная Java-библиотека, предназначенная для управления символьными строками. И еще в марте 2022 года эксперт GitHub Security Lab Альваро Муньос (Alvaro Muñoz) обнаружил, что библиотека подвержена RCE-уязвимости, связанной с ненадежной обработкой данных и интерполяцией переменных.
Уязвимость была исправлена разработчиками Apache Commons на прошлой неделе, с релизом версии 1.10.0, где проблемные интерполяторы были отключены.
Так как Apache Commons Text используется многими разработчиками и организациями, а уязвимость затрагивает даже версии библиотеки, выпущенные еще в 2018 году, некоторые эксперты предупреждали, что проблема может стать новой Log4Shell. В итоге CVE-2022-42889 получила названия Text4Shell или Act4Shell, но вскоре стало ясно, что такие опасения, скорее всего, излишни.
В частности, аналитики из компании Rapid7 опубликовали собственный анализ проблемы и объяснили, что не все версии библиотеки от 1.5 до 1.9 уязвимы, а потенциал эксплуатации связан с используемой версией JDK. Также они отмечают, что сравнивать новую уязвимость с Log4Shell не совсем корректно.
«Природа уязвимости такова, что, в отличие от Log4Shell, приложение будет редко использовать уязвимый компонент Commons Text для обработки ненадежных, потенциально вредоносных входных данных», — гласит отчет Rapid7.
Исследователи протестировали PoC-эксплоит на различных версиях JDK, и он срабатывал без предупреждений только на версиях 9.0.4, 10.0.2 и 1.8.0_341. Впрочем, нужно отметить, что уже представлен обновленный PoC-эксплоит, работающий на всех уязвимых версиях, и выяснилось, что версии JDK 15+ тоже подвержены багу.
С точкой зрения коллег согласились и специалисты компании Sophos, которые заявили, что уязвимость опасна, но в настоящее время использовать ее на уязвимых серверах не так просто как Log4Shell. И даже сам Муньос, обнаруживший баг, тоже объяснял, что, несмотря на сходство с Log4Shell, новая уязвимость, скорее всего, будет распространена и опасна гораздо меньше.
Такого же мнение придерживается и команда безопасности Apache, заявившая, что масштаб проблемы не сопоставим с Log4Shell, а интерполяция строк является задокументированной функцией. То есть, маловероятно, что приложения, использующие библиотеку, станут непреднамеренно передавать небезопасный input без валидации.
Однако, несмотря на все эти сообщения специалистов, аналитики Defiant предупредили, что хакеры уже начали эксплуатировать CVE-2022-42889. Компания наблюдала за 4 000 000 сайтов со дня раскрытия данных о проблеме (17 октября) и теперь сообщает, что обнаружила попытки взлома, которые исходят примерно с 40 IP-адресов и начались 18 октября. Судя по всему, пока речь идет только о разведке.
«Подавляющее большинство запросов, которые мы видим, используют префикс DNS и предназначены для сканирования уязвимых установок — успешная попытка приведет к тому, что сайт-жертва отправит DNS-запрос к домену лиснера, контролируемому злоумышленником», — пишут в Defiant.
Также следует отметить, что по информации экспертов Positive Technologies, библиотека Apache Commons Text и вовсе остается уязвимой даже после обновления до версии 1.10.0, а эксплуатация проблемы «зависит от способов ее применения и отсутствуют гарантии в небезопасном использовании библиотеки внутри собственного продукта или внутри заимствованного пакета».