Das WordPress-Sicherheitsunternehmen Wordfence teilte am Donnerstag mit, dass es seit dem 18. Oktober 2022 versucht, die neu entdeckte Schwachstelle in Apache Commons Text auszunutzen.
Die Schwachstelle mit der Bezeichnung CVE-2022-42889 alias Text4Shell wurde auf der CVSS-Skala mit einem Schweregrad von 9,8 von 10,0 bewertet und betrifft die Versionen 1.5 bis 1.9 der Bibliothek.
Die Schwachstelle ähnelt der berüchtigten Log4Shell-Schwachstelle, da sie auf die Art und Weise zurückzuführen ist, wie String-Ersetzungen bei DNS-, Skript- und URL-Lookups zur Ausführung von beliebigem Code auf anfälligen Systemen führen können, wenn nicht vertrauenswürdige Eingaben übergeben werden.
Wenn die Schwachstelle erfolgreich ausgenutzt wird, kann ein Bedrohungsakteur eine Reverse-Shell-Verbindung mit der anfälligen Anwendung öffnen, indem er einfach eine speziell gestaltete Nutzlast sendet und damit Tür und Tor für Folgeangriffe öffnet.
Die Apache Software Foundation (ASF) meldete die Schwachstelle ursprünglich Anfang März 2022 und veröffentlichte am 24. September eine aktualisierte Version der Software (1.10.0), bevor sie letzte Woche am 13. Oktober einen Hinweis veröffentlichte.
„Glücklicherweise sind nicht alle Nutzer dieser Bibliothek von dieser Schwachstelle betroffen – im Gegensatz zu Log4J bei der Log4Shell-Schwachstelle, die selbst in den einfachsten Anwendungsfällen anfällig war“, so Checkmarx-Forscher Yaniv Nizry.
„Apache Commons Text muss auf eine bestimmte Art und Weise verwendet werden, um die Angriffsfläche freizulegen und die Schwachstelle ausnutzbar zu machen.“
Wordfence wies außerdem darauf hin, dass die Wahrscheinlichkeit einer erfolgreichen Ausnutzung im Vergleich zu Log4j deutlich geringer ist, da die meisten der bisher beobachteten Payloads darauf ausgelegt sind, nach verwundbaren Installationen zu suchen.
„Ein erfolgreicher Versuch würde dazu führen, dass die Opferseite eine DNS-Anfrage an die vom Angreifer kontrollierte Listener-Domain stellt“, sagte Wordfence-Forscher Ram Gall und fügte hinzu, dass Anfragen mit Skript- und URL-Präfixen vergleichsweise weniger umfangreich waren.
Wenn überhaupt, ist diese Entwicklung ein weiterer Hinweis auf die potenziellen Sicherheitsrisiken, die von Open-Source-Abhängigkeiten von Drittanbietern ausgehen und die es erforderlich machen, dass Unternehmen ihre Angriffsfläche routinemäßig bewerten und angemessene Patch-Management-Strategien einrichten.
Nutzern, die direkt von Apache Commons Text abhängig sind, wird empfohlen, auf die korrigierte Version zu aktualisieren, um potenzielle Bedrohungen zu entschärfen. Laut Maven Repository nutzen 2.593 Projekte die Apache Commons Text-Bibliothek.
Die Schwachstelle in Apache Commons Text folgt auf eine weitere kritische Sicherheitslücke, die im Juli 2022 in Apache Commons Configuration bekannt wurde (CVE-2022-33980, CVSS-Score: 9.8) und durch die Variableninterpolation die Ausführung von beliebigem Code ermöglicht.