Hiljuti teade sellest tuvastati nullpäeva tüüpi kriitiline haavatavus moodulis Spring Core tarnitakse Spring Frameworki osana, mis võimaldab kaug-autentimata ründajal oma koodi serveris käivitada.
Mõne hinnangu kohaselt Spring Core moodul kasutatakse 74% Java rakendustest. Haavatavuse ohtu vähendab asjaolu, et ainult rakendused, mis kasutage annotatsiooni "@RequestMapping".Kui ühendate päringutöötlejad ja kasutades veebivormi parameetrite sidumist JSON-i/XML-i asemel vormingus „nimi=väärtus” (POJO, tavaline vana Java objekt), on need vastuvõtlikud rünnakutele. Veel pole selge, milliseid Java rakendusi ja raamistikke probleem mõjutab.
See haavatavus nimega "Spring4Shell" kasutab ära klassisüsti, mis viib täieliku RCE-ni ja on väga tõsine. Nimi "Spring4Shell" valiti seetõttu, et Spring Core on üldlevinud teek, mis sarnaneb log4j-ga, mis tekitas kurikuulsa Log4Shelli haavatavuse.
Usume, et kasutajad, kes kasutavad JDK versiooni 9 ja uuemat, on RCE rünnaku suhtes haavatavad. See mõjutab kõiki Spring Core'i versioone.
Rünnaku leevendamiseks on strateegiaid ja me usume, et kõik Spring serverid ei ole tingimata haavatavad, olenevalt muudest allpool käsitletud teguritest. Sellegipoolest soovitame praegu kõigil kasutajatel Spring Core'i kasutamisel leevendusi või versiooniuuendusi rakendada.
Haavatavuse ärakasutamine on võimalik ainult Java/JDK 9 kasutamisel või uuem versioon. See haavatavus blokeerib väljade "klass", "moodul" ja "classLoader" musta nimekirja lisamise või lubatud väljade selgesõnalise valge nimekirja kasutamise.
probleem on tingitud võimalusest vältida kaitset haavatavuse CVE-2010-1622 vastu, Parandatud kevadraamistikus 2010. aastal ja see on seotud päringu parameetrite sõelumisel classLoaderi töötleja käivitamisega.
Ärakasutamise toimimine taandub päringu saatmisele cparameetritega "class.module.classLoader.resources.context.parent.pipeline.first.*", mille töötlemine "WebappClassLoaderBase" kasutamisel viib väljakutse AccessLogValve klassi.
Määratud klass võimaldab seadistada logija looma Apache Tomcati juurkeskkonnas suvalise jsp-faili ja kirjutama sellesse faili ründaja määratud koodi. Loodud fail on saadaval otsepäringute jaoks ja seda saab kasutada veebikestana. Apache Tomcat keskkonnas haavatava rakenduse ründamiseks piisab, kui saata curl utiliidi abil teatud parameetritega päring.
Spring Core'is käsitletav probleem mitte segi ajada äsja tuvastatud haavatavustega CVE-2022-22963 ja CVE-2022-22950. Esimene probleem puudutab Spring Cloudi paketti ja võimaldab saavutada ka koodi kaugkäitamist (eksploiti). CVE-2022-22963 on Spring Cloudi versioonides 3.1.7 ja 3.2.3 parandatud.
Teine väljaanne CVE-2022-22950 on Spring Expressionis olemas, seda saab kasutada DoS-rünnakute käivitamiseks ja see on Spring Frameworki versioonis 5.3.17 parandatud. Need on põhimõtteliselt erinevad haavatavused. Spring Frameworki arendajad ei ole uue haavatavuse kohta veel ühtegi avaldust avaldanud ega ole parandust välja andnud.
Ajutise kaitsemeetmena on soovitatav kasutada koodis kehtetute päringuparameetrite musta nimekirja.
Ikka pole selge, kui katastroofilised tagajärjed võivad olla tuvastatud probleemist ja kas rünnakud on sama massilised kui Log4j 2 haavatavuse puhul. Haavatavuse koodnimetus on Spring4Shell, CVE-2022-22965 ning välja on antud uuendused Spring Framework 5.3.18 ja 5.2.20. haavatavuse kõrvaldamiseks.
Plaaster on nüüd saadaval alates 31. märtsist 2022 viimastes kevadistes versioonides 5.3.18 ja 5.2.20. Soovitame kõigil kasutajatel uuendada. Neile, kes ei saa uuendada, on võimalikud järgmised leevendused.
Lähtudes Praetoriani postitusest, mis kinnitab RCE olemasolu Spring Core'is, on praegu soovitatav lähenemine DataBinderi paikamine, lisades ärakasutamiseks vajalike haavatavate väljamustrite musta nimekirja.
Lõpuks jah olete huvitatud sellest rohkem teada saama märkme kohta saate vaadata üksikasju Järgmisel lingil.