Hackers Started Exploiting Critical “Text4Shell” Apache Commons Text Vulnerability
2022/10/21 TheHackerNews — 2022年10月18日に公開された Apache Commons Text の脆弱性だが、その悪用が検出され始めたと、WordPress のセキュリティ企業である Wordfenceが 10月20日に発表した。脆弱性 CVE-2022-42889 (CVSS:9.8) は、別名 Text4Shell として追跡され、この ライブラリのバージョン 1.5〜1.9 に影響を及ぼす。
この脆弱性は、DNS/スクリプト/URL ルックアップの最中に実行される文字列の置換が、信頼できない入力値を受け渡すときに、脆弱なシステム上で任意のコードの実行につながる可能性がある。その点では、大きな問題を引き起こした Log4Shell の脆弱性と類似している。
この脆弱性の悪用に成功した脅威アクターは、特別に細工されたペイロードを介して、脆弱なアプリケーションとリバースシェル接続を行うことが可能となり、後続の攻撃のきっかけを効果的に作り出すことが可能だ。
この問題は、2022年3月初旬に報告されたが、Apache Software Foundation (ASF) は、9月24日にソフトウェアの更新版 (1.10.0) をリリースし、先週の 10月13日にアドバイザリを発行したばかりである。
Checkmarx の研究者である Yaniv Nizry は、「幸いなことに、このライブラリのすべてのユーザーが、この脆弱性の影響を受けるわけではない。Log4J の脆弱性 Log4Shell の場合は、最も基本的な使用例においても脆弱性の悪用が可能だった。Apache Commons Text のケースでは、それを特定の方法で使用し、攻撃対象領域を公開し、脆弱性を悪用可能にする必要がある」と述べている。
また、Wordfence は、これまでに観測されたペイロードの大半が、脆弱なインストールをスキャンするように設計されており、Log4j と比較すると、悪用の成功の可能性は著しく範囲が限定されていると強調している。
Wordfence の研究者である Ram Gall は、「攻撃が成功すると、被害者のサイトは攻撃者が管理するリスナー・ドメインに DNS クエリーを行うことになる。スクリプトや URL プレフィックスを含むリクエストは、比較的少なかった」と述べている。
この件は、サードパーティーのオープンソースへの依存がもたらす、潜在的なセキュリティ・リスクを示している。企業は日頃から攻撃対象領域を評価し、適切なパッチ・マネジメント戦略を立てることが必要となる。
Apache Commons Text をダイレクトに使用しているユーザーは、潜在的な脅威を軽減するために、修正版へのアップグレードが推奨される。Maven Repository によると、2,593 件ものプロジェクトが、このライブラリを使用していることになる。その一方で Flashpoint は、このリストの中で、脆弱なメソッドを使用しているケースは非常に少ないと指摘している。
Apache Commons Text の脆弱性は、2022年7月に Apache Commons Configuration で公開された、変数補間機能を介した任意のコード実行の脆弱性 CVE-2022-33980 (CVSS:9.8)に続くものである。
Apache Commons Text の脆弱性と聞き、またも一大事かと思った方が多いでしょうが、この Wordfence の分析結果を見る限りでは、同様の影響は生じないのだろうと思います。ひと安心ですが、Maven Repository を見るかぎり、影響の範囲は広大です。きっと続報があるはずなので、見つけたらポストしていきます。Log4j および Log4Shell につきましては、カテゴリ Log4j を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.