Công ty an ninh mạng WordPress Wordfence (Hoa Kỳ) phát hiện tin tặc đang tiến hành khai thác nhắm vào lỗ hổng mới được tiết lộ trong Apache Commons Text.
Cụ thể, lỗ hổng định danh CVE-2022-42889 (còn được gọi tên là Text4Shell) có điểm CVSS 9,8 gây ảnh hưởng đến các phiên bản 1.5 đến 1.9 của thư viện.
Lỗ hổng được nhận định tương đối giống với Log4Shell ở chỗ cùng bắt nguồn từ cách thức thay thế chuỗi được thực hiện trong quá trình tra cứu DNS, script và URL, có thể dẫn đến việc thực thi mã tùy ý trên các hệ thống khi có đầu vào không đáng tin cậy.
Khai thác thành công lỗ hổng, tin tặc có thể mở một kết nối reverse shell với ứng dụng một cách đơn giản thông qua payload độc hại, dẫn đường cho các cuộc tấn công tiếp theo.
Lỗ hổng này được báo cáo từ tháng 3. Apache Software Foundation (ASF) đã phát hành phiên bản cập nhật của phần mềm (1.10.0) vào ngày 24/9 và đưa ra khuyến cáo vào ngày 13/10.
Theo thống kê, có tới 2.593 dự án sử dụng thư viện này, tuy nhiên không liệt kê được số lượng những dự án sử dụng phiên bản bị ảnh hưởng. Do đó, người dùng Apache Commons Text được khuyến cáo khẩn trương nâng cấp ứng dụng để giảm thiểu các nguy cơ.
Theo Tạp chí An toàn thông tin