Phát hiện lỗ hổng nghiêm trọng trong thư viện Apache Commons Text

[Ginny Hà]

​

Các nhà nghiên cứu cảnh báo, lỗ hổng cho phép kẻ tấn công thực thi mã từ xa, tuy nhiên không quá nguy hiểm như Log4Shell.

​

Thư viện Apache Commons Text chủ yếu tập trung vào các thuật toán hoạt động trên chuỗi. Nó bao gồm một API, cho phép nội suy hoặc thay thế, và cho các thuộc tính được đánh giá và mở rộng động.

Theo các nhà nghiên cứu JFrog, một số chức năng của thư viện có thể dẫn đến việc thực thi mã từ xa nếu dữ liệu do hacker kiểm soát được chuyển đến các chức năng này.

“Lỗ hổng chỉ có thể bị khai thác trong trường hợp một số code Java tồn tại và sử dụng thư viện này và chuyển dữ liệu do hacker kiểm soát đến các chức năng cụ thể”, Shachar Menashe, Giám đốc cấp cao tại JFrog cho biết.

Lỗ hổng CVE-2022-42889 xuất hiện 10 tháng sau Log4Shell – lỗ hổng được đánh giá là một trong những vấn đề nghiêm trọng nhất trong 20 năm qua. Log4Shell từng gây chấn động bởi nguy cơ tấn công từ các tổ chức gián điệp quốc gia tới tội phạm mạng, tuy nhiên thiệt hại thực tế không quá tồi tệ như lo ngại ban đầu.

Vào tháng 7, Hội đồng Đánh giá An toàn Mạng đã đưa ra một báo cáo xác nhận Log4Shell sẽ không ảnh hưởng như lo ngại ban đầu, nhưng vẫn là một lỗ hổng an ninh đặc hữu.

Lỗ hổng Apache Commons Text này được cho là không nghiêm trọng như Log4Shell, vì các chức năng này ít có khả năng nhận được thông tin đầu vào của người dùng hơn.

Các nhà nghiên cứu từ GreyNoise cho biết, họ đã biết về PoC lỗ hổng và có thể kích hoạt nó trong môi trường thử nghiệm. Tuy nhiên, chưa phát hiện việc khai thác lỗ hổng để tấn công trong thực tế.

Một lỗ hổng an ninh tương tự, có mã theo dõi là CVE-2022-33980, cùng mức độ nghiêm trọng 9,8 đã được phát hiện trong cấu hình Apache Commons tháng 7 vừa qua.

Nguồn: Cybersecuritydive​