Theo Apache Software Foundation (ASF), bản cập nhật cho thư viện Apache Commons Text đã giải quyết một lỗ hổng cho phép hacker thực thi mã từ xa.

CVE-2022-42889, ban đầu được báo cáo trong danh sách của Apache vào ngày 13 tháng 10 năm 2022.

Lỗ hổng này có liên quan đến lỗ hổng Log4Shell, ảnh hưởng đến Apache Log4j 2, một thư viện Java nổi tiếng được sử dụng để ghi lại các thông báo lỗi của ứng dụng. Nhưng dựa trên nghiên cứu của một số nhà nghiên cứu bảo mật (tính đến thời điểm viết bài này), nó không có tác động tương tự như Log4Shell.

Các phiên bản 1.5 đến 1.9 của Apache Commons Text đều bị ảnh hưởng bởi CVE-2022-42889. Kể từ phiên bản Commons Text 1.10, lỗ hổng đã được nhóm Apache khắc phục.

Lỗ hổng tồn tại do nó cùng một loại tấn công như Log4Shell, thường được gọi là Text4Shell hoặc Text2Shell. So với Log4J, Apache Commons Text là một thư viện ít phổ biến hơn. Tuy nhiên, trong trường hợp này, Apache Commons Text không xác thực dữ liệu được xử lý mặc định, có nghĩa là không có bộ lọc nào đối với các dữ liệu nhạy cảm, vì vậy có thể thực thi các mã độc hại.

Lỗ hổng Apache Commons Text, CVE-2022-42889 (Text4Shell / Text2Shell), có thể bị khai thác bằng cách đưa một payload vào chương trình không an toàn, chương trình này sẽ yêu cầu thông tin từ nguồn của bên thứ ba, sử dụng DNS hoặc bằng cách thực thi một tập lệnh.

Phiên bản JDK sau đây đã được nhóm quick7 sử dụng để PoC:

JDK 1.8.0_341 – PoC hoạt động

JDK 9.0.4 – PoC hoạt động

JDK 10.0.2 – PoC hoạt động

JDK 11.0.16.1 – cảnh báo nhưng hoạt động

JDK 12.0.2 – cảnh báo nhưng hoạt động

JDK 13.0.2 – cảnh báo nhưng hoạt động

JDK 14.0.2 – cảnh báo nhưng hoạt động

JDK 15.0.2 – không thành công

JDK 16.0.2 – không thành công

JDK 17.0.4.1 – không thành công

JDK 18.0.2.1 – không thành công

JDK 19 – không thành công

Mặc dù công cụ Nashorn đã bị vô hiệu hóa, nhóm Bảo mật JFrog nhấn mạnh rằng người dùng Java 15+ được bảo vệ khỏi việc thực thi mã vì nội suy $ script sẽ không hoạt động. Tuy nhiên, các vectơ khác (DNS, URL) sẽ tiếp tục hoạt động.

Tuy lỗ hổng bảo mật không có tác động lớn như Log4Shell nhưng người sử dụng vẫn nên cập nhật Apache Commons Text lên phiên bản sửa lỗi 1.10.0.

Nguồn: https://www.securitynewspaper.com/