Perusahaan keamanan WordPress Wordfence pada hari Kamis mengatakan mulai mendeteksi upaya eksploitasi yang menargetkan cacat yang baru diungkapkan di Apache Commons Text pada 18 Oktober 2022.
Kerentanan, dilacak sebagai CVE-2022-42889 alias Text4Shell, telah diberi peringkat keparahan 9,8 dari kemungkinan 10,0 pada skala CVSS dan memengaruhi versi 1,5 hingga 1,9 dari perpustakaan.
Ini juga mirip dengan kerentanan Log4Shell yang sekarang terkenal karena masalah berakar pada cara substitusi string yang dilakukan selama pencarian DNS, skrip, dan URL dapat menyebabkan eksekusi kode arbitrer pada sistem yang rentan saat meneruskan input yang tidak tepercaya.
“Penyerang dapat mengirim muatan yang dibuat dari jarak jauh menggunakan pencarian ‘script,’ ‘dns,’ dan ‘url’ untuk mencapai eksekusi kode jarak jauh yang sewenang-wenang,” tim Zscaler ThreatLabZ menjelaskan.
Eksploitasi cacat yang berhasil dapat memungkinkan aktor ancaman untuk membuka koneksi shell terbalik dengan aplikasi yang rentan hanya melalui muatan yang dibuat khusus, secara efektif membuka pintu untuk serangan lanjutan.
Pengguna yang memiliki ketergantungan langsung pada Apache Commons Text disarankan untuk meningkatkan ke versi tetap untuk mengurangi potensi ancaman. Menurut Maven Repository, sebanyak 2.593 proyek menggunakan perpustakaan, meskipun Flashpoint mencatat bahwa sangat sedikit dari yang terdaftar menggunakan metode yang rentan.
Cacat Teks Apache Commons juga mengikuti kelemahan keamanan kritis lainnya yang diungkapkan dalam Konfigurasi Apache Commons pada Juli 2022 (CVE-2022-33980, skor CVSS: 9,8), yang dapat mengakibatkan eksekusi kode arbitrer melalui fungsionalitas interpolasi variabel.
Selengkapnya: The Hacker News