专家警告 CVE-2022-42889 Text4Shell 的漏洞利用

GitHub 的威胁分析师 Alvaro Munoz 本周披露了一个远程代码执行漏洞，在开源 Apache Commons Text 库中被跟踪为 CVE-2022-42889（CVSS 评分 9.8）。 Apache Commons Text 是一个专注于处理字符串的算法的库。
该漏洞被称为“Text4Shell”，是由插值系统引起的不安全脚本评估问题。在库的默认配置中处理恶意输入时，攻击者可以利用该漏洞触发代码执行。
“当与默认插值器 (StringSubstitutor.createInterpolator()) 一起使用时，StringSubstitutor 将执行可能导致任意代码执行的字符串查找。” 阅读  Munoz 发布的帖子。“特别是，如果不受信任的数据流入 StringSubstitutor.replace() 或 StringSubstitutor.replaceIn() 方法，攻击者将能够使用 ScriptStringLookup 触发任意代码执行。”
该问题已在 9 月 24 日发布的 Apache Commons Text 1.10.0 中得到解决，新版本默认禁用有问题的插值器。
2022 年 10 月 17 日，Wordfence 威胁情报团队开始在我们拥有 400 万个网站的网络上监控针对 CVE-2022-42889 或“Text4Shell”的活动。
从 2022 年 10 月 18 日开始，Wordfence 研究人员开始看到针对其 400 万个网站网络的 Text4Shell 漏洞的活动。
“我们看到的绝大多数请求都使用 DNS 前缀，旨在扫描易受攻击的安装 - 成功的尝试将导致受害者站点向攻击者控制的侦听器域进行 DNS 查询。” 阅读Wordfence 发布的帖子。
脚本前缀不太常见，是用于实现实际代码执行的方法。我们已经看到了各种各样的有效负载，但所有这些似乎都旨在将请求发送回侦听器 URL。
url 前缀是我们跟踪的最不常见的前缀，其功能与 dns 前缀相同。”
自 10 月 18 日以来， Wordfence 研究人员已 观察到 来自大约 40 个 IP 地址的利用尝试。大多数尝试是可能由安全研究人员进行的扫描，但其中一些可能是由威胁参与者进行的。
Wordfence 在此处共享了 IP 地址和侦听器主机列表。