Свежую уязвимость в Apache Commons Text уже атакуют хакеры - «Новости» » Интернет технологии
sitename
Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
 В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
 Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
 В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
 ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
 Realme представила тонкий аккумулятор на 15 000 мА·ч и первый в мире смартфон с термоэлектрическим кулером - «Новости сети»
Realme представила тонкий аккумулятор на 15 000 мА·ч и первый в мире смартфон с термоэлектрическим кулером - «Новости сети»
 Phison сняла с себя ответственность за сбои SSD после обновления Windows 11 - «Новости сети»
Phison сняла с себя ответственность за сбои SSD после обновления Windows 11 - «Новости сети»
 MSI показала OLED-монитор, который непрерывно работал 533 дня и «почти не выгорел» - «Новости сети»
MSI показала OLED-монитор, который непрерывно работал 533 дня и «почти не выгорел» - «Новости сети»
 Сюжетные дополнения к S.T.A.L.K.E.R. 2: Heart of Chornobyl выйдут из тени в «ближайшем будущем» — первое уже в активной разработке - «Новости сети»
Сюжетные дополнения к S.T.A.L.K.E.R. 2: Heart of Chornobyl выйдут из тени в «ближайшем будущем» — первое уже в активной разработке - «Новости сети»
 Хакер сделал конкурента ChatGPT соучастником вымогательской кампании: ИИ искал уязвимости и писал угрозы - «Новости сети»
Хакер сделал конкурента ChatGPT соучастником вымогательской кампании: ИИ искал уязвимости и писал угрозы - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Свежую уязвимость в Apache Commons Text уже атакуют хакеры - «Новости»

✔Свежую уязвимость в Apache Commons Text уже атакуют хакеры - «Новости»

22 октября 2022 816 Новости / Вёрстка / Преимущества стилей / Отступы и поля / Добавления стилей / Изображения / Статьи об афоризмах / Заработок / Сайтостроение / Самоучитель CSS 0

По данным компании Defiant, занимающейся безопасностью WordPress, уже замечены попытки эксплуатации новой уязвимости в Apache Commons Text (CVE-2022-42889). Некоторые специалисты считают, что эта проблема, получившая название Text4Shell и затрагивающая версии библиотеки с 1.5 по 1.9, может стать новой Log4Shell. Проблема получила 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS.


Информация о проблеме CVE-2022-42889 была раскрыта ранее на этой неделе. Apache Commons Text — это опенсорсная Java-библиотека, предназначенная для  управления символьными строками. И еще в марте 2022 года эксперт GitHub Security Lab Альваро Муньос (Alvaro Muñoz) обнаружил, что библиотека подвержена RCE-уязвимости, связанной с ненадежной обработкой данных и интерполяцией переменных.


Уязвимость была исправлена ​​разработчиками Apache Commons на прошлой неделе, с релизом версии 1.10.0, где проблемные интерполяторы были отключены.


Так как Apache Commons Text используется многими разработчиками и организациями, а уязвимость затрагивает даже версии библиотеки, выпущенные еще в 2018 году, некоторые эксперты предупреждали, что проблема может стать новой Log4Shell. В итоге CVE-2022-42889 получила названия Text4Shell или Act4Shell, но вскоре стало ясно, что такие опасения, скорее всего, излишни.


В частности, аналитики из компании Rapid7 опубликовали собственный анализ проблемы и объяснили, что не все версии библиотеки от 1.5 до 1.9 уязвимы, а потенциал эксплуатации связан с используемой версией JDK. Также они отмечают, что сравнивать новую уязвимость с Log4Shell не совсем корректно.


«Природа уязвимости такова, что, в отличие от Log4Shell, приложение будет редко использовать уязвимый компонент Commons Text для обработки ненадежных, потенциально вредоносных входных данных», — гласит отчет Rapid7.


Исследователи протестировали PoC-эксплоит на различных версиях JDK, и он срабатывал без предупреждений только на версиях 9.0.4, 10.0.2 и 1.8.0_341. Впрочем, нужно отметить, что уже представлен обновленный PoC-эксплоит, работающий на всех уязвимых версиях, и выяснилось, что версии JDK 15+ тоже подвержены багу.


С точкой зрения коллег согласились и специалисты компании Sophos, которые заявили, что уязвимость опасна, но в настоящее время использовать ее на уязвимых серверах не так просто как Log4Shell. И даже сам Муньос, обнаруживший баг, тоже объяснял, что, несмотря на сходство с Log4Shell, новая уязвимость, скорее всего, будет распространена и опасна гораздо меньше.


Такого же мнение придерживается и команда безопасности Apache, заявившая, что масштаб проблемы не сопоставим с Log4Shell, а интерполяция строк является задокументированной функцией. То есть, маловероятно, что приложения, использующие библиотеку, станут непреднамеренно передавать небезопасный input без валидации.


Однако, несмотря на все эти сообщения специалистов, аналитики Defiant предупредили, что хакеры уже начали эксплуатировать CVE-2022-42889. Компания наблюдала за 4 000 000 сайтов со дня раскрытия данных о проблеме (17 октября) и теперь сообщает, что обнаружила попытки взлома, которые исходят примерно с 40 IP-адресов и начались 18 октября. Судя по всему, пока речь идет только о разведке.


«Подавляющее большинство запросов, которые мы видим, используют префикс DNS и предназначены для сканирования уязвимых установок — успешная попытка приведет к тому, что сайт-жертва отправит DNS-запрос к домену лиснера, контролируемому злоумышленником», — пишут в Defiant.


Также следует отметить, что по информации экспертов Positive Technologies, библиотека Apache Commons Text и вовсе остается уязвимой даже после обновления до версии 1.10.0, а эксплуатация проблемы «зависит от способов ее применения и отсутствуют гарантии в небезопасном использовании библиотеки внутри собственного продукта или внутри заимствованного пакета».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

По данным компании Defiant, занимающейся безопасностью WordPress, уже замечены попытки эксплуатации новой уязвимости в Apache Commons Text (CVE-2022-42889). Некоторые специалисты считают, что эта проблема, получившая название Text4Shell и затрагивающая версии библиотеки с 1.5 по 1.9, может стать новой Log4Shell. Проблема получила 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS. Информация о проблеме CVE-2022-42889 была раскрыта ранее на этой неделе. Apache Commons Text — это опенсорсная Java-библиотека, предназначенная для управления символьными строками. И еще в марте 2022 года эксперт GitHub Security Lab Альваро Муньос (Alvaro Muñoz) обнаружил, что библиотека подвержена RCE-уязвимости, связанной с ненадежной обработкой данных и интерполяцией переменных. Уязвимость была исправлена ​​разработчиками Apache Commons на прошлой неделе, с релизом версии 1.10.0, где проблемные интерполяторы были отключены. Так как Apache Commons Text используется многими разработчиками и организациями, а уязвимость затрагивает даже версии библиотеки, выпущенные еще в 2018 году, некоторые эксперты предупреждали, что проблема может стать новой Log4Shell. В итоге CVE-2022-42889 получила названия Text4Shell или Act4Shell, но вскоре стало ясно, что такие опасения, скорее всего, излишни. В частности, аналитики из компании Rapid7 опубликовали собственный анализ проблемы и объяснили, что не все версии библиотеки от 1.5 до 1.9 уязвимы, а потенциал эксплуатации связан с используемой версией JDK. Также они отмечают, что сравнивать новую уязвимость с Log4Shell не совсем корректно. «Природа уязвимости такова, что, в отличие от Log4Shell, приложение будет редко использовать уязвимый компонент Commons Text для обработки ненадежных, потенциально вредоносных входных данных», — гласит отчет Rapid7. Исследователи протестировали PoC-эксплоит на различных версиях JDK, и он срабатывал без предупреждений только на версиях 9.0.4, 10.0.2 и 1.8.0_341. Впрочем, нужно отметить, что уже представлен обновленный PoC-эксплоит, работающий на всех уязвимых версиях, и выяснилось, что версии JDK 15 тоже подвержены багу. С точкой зрения коллег согласились и специалисты компании Sophos, которые заявили, что уязвимость опасна, но в настоящее время использовать ее на уязвимых серверах не так просто как Log4Shell. И даже сам Муньос, обнаруживший баг, тоже объяснял, что, несмотря на сходство с Log4Shell, новая уязвимость, скорее всего, будет распространена и опасна гораздо меньше. Такого же мнение придерживается и команда безопасности Apache, заявившая, что масштаб проблемы не сопоставим с Log4Shell, а интерполяция строк является задокументированной функцией. То есть, маловероятно, что приложения, использующие библиотеку, станут непреднамеренно передавать небезопасный input без валидации. Однако, несмотря на все эти сообщения специалистов, аналитики Defiant предупредили, что хакеры уже начали эксплуатировать CVE-2022-42889. Компания наблюдала за 4 000 000 сайтов со дня раскрытия данных о проблеме (17 октября) и теперь сообщает, что обнаружила попытки взлома, которые исходят примерно с 40 IP-адресов и начались 18 октября. Судя по всему, пока речь идет только о разведке. «Подавляющее большинство запросов, которые мы видим, используют префикс DNS и предназначены для сканирования уязвимых установок — успешная попытка приведет к тому, что сайт-жертва отправит DNS-запрос к домену лиснера, контролируемому злоумышленником», — пишут в Defiant. Также следует отметить, что по информации экспертов Positive Technologies, библиотека Apache Commons Text и вовсе остается уязвимой даже после обновления до версии 1.10.0, а эксплуатация проблемы «зависит от способов ее применения и отсутствуют гарантии в небезопасном использовании библиотеки внутри собственного продукта или внутри заимствованного пакета».
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: