उन्होंने स्प्रिंग फ्रेमवर्क में एक भेद्यता की खोज की

हाल ही में खबर है कि तोड़ दिया शून्य दिन प्रकार की एक गंभीर भेद्यता का पता चला था मॉड्यूल में स्प्रिंग कोर को स्प्रिंग फ्रेमवर्क के हिस्से के रूप में भेज दिया गया, जो एक दूरस्थ, अनधिकृत हमलावर को सर्वर पर अपना कोड निष्पादित करने की अनुमति देता है।

कुछ अनुमानों के अनुसार, स्प्रिंग कोर मॉड्यूल जावा अनुप्रयोगों के 74% में उपयोग किया जाता है. भेद्यता का खतरा इस तथ्य से कम हो जाता है कि केवल वे अनुप्रयोग जो करने के लिए "@RequestMapping" एनोटेशन का उपयोग करेंअनुरोध संचालकों को जोड़कर और JSON/XML के बजाय "नाम = मान" (पीओजेओ, प्लेन ओल्ड जावा ऑब्जेक्ट) प्रारूप में बाध्यकारी वेब फॉर्म पैरामीटर का उपयोग करके, वे हमले के लिए अतिसंवेदनशील होते हैं। यह अभी तक स्पष्ट नहीं है कि कौन से जावा एप्लिकेशन और फ्रेमवर्क इस मुद्दे से प्रभावित हैं।

"स्प्रिंग4शेल" नाम की यह भेद्यता वर्ग इंजेक्शन का लाभ उठाती है जिससे पूर्ण RCE हो जाता है और यह बहुत गंभीर है। "स्प्रिंग4शेल" नाम इसलिए चुना गया क्योंकि स्प्रिंग कोर एक सर्वव्यापी पुस्तकालय है, जो log4j के समान है जिसने कुख्यात Log4Shell भेद्यता को जन्म दिया।

हम मानते हैं कि JDK संस्करण 9 और बाद के संस्करण चलाने वाले उपयोगकर्ता RCE हमले की चपेट में हैं। स्प्रिंग कोर के सभी संस्करण प्रभावित हैं।

हमले को कम करने के लिए रणनीतियाँ हैं और हम मानते हैं कि सभी स्प्रिंग सर्वर आवश्यक रूप से असुरक्षित नहीं हैं, जो नीचे चर्चा किए गए अन्य कारकों पर निर्भर करता है। उस ने कहा, हम वर्तमान में अनुशंसा करते हैं कि यदि वे स्प्रिंग कोर का उपयोग कर रहे हैं तो सभी उपयोगकर्ता शमन लागू करें या अपग्रेड करें।

जावा/जेडीके 9 का उपयोग करते समय ही भेद्यता का शोषण संभव है या एक नया संस्करण। भेद्यता फ़ील्ड "क्लास", "मॉड्यूल", और "क्लासलोडर" की ब्लैकलिस्टिंग या अनुमत फ़ील्ड की स्पष्ट श्वेतसूची के उपयोग को अवरुद्ध करती है।

समस्या CVE-2010-1622 भेद्यता के खिलाफ सुरक्षा को बायपास करने की क्षमता के कारण है, 2010 में स्प्रिंग फ्रेमवर्क में फिक्स्ड और अनुरोध मापदंडों को पार्स करते समय क्लासलोडर हैंडलर के निष्पादन से जुड़ा।

अनुरोध भेजने के लिए शोषण का संचालन कम हो गया है cपैरामीटर "class.module.classLoader.resources.context.parent.pipeline.first.*" के साथ, जिसकी प्रोसेसिंग, "WebappClassLoaderBase" का उपयोग करते समय, AccessLogValve क्लास को कॉल की ओर ले जाती है।

निर्दिष्ट वर्ग आपको अपाचे टॉमकैट के मूल वातावरण में एक मनमानी जेएसपी फ़ाइल बनाने के लिए लॉगर को कॉन्फ़िगर करने और हमलावर द्वारा निर्दिष्ट कोड को इस फ़ाइल में लिखने की अनुमति देता है। बनाई गई फ़ाइल सीधे अनुरोधों के लिए उपलब्ध है और इसे वेब शेल के रूप में उपयोग किया जा सकता है। अपाचे टॉमकैट वातावरण में एक कमजोर एप्लिकेशन पर हमला करने के लिए, कर्ल उपयोगिता का उपयोग करके कुछ मापदंडों के साथ एक अनुरोध भेजने के लिए पर्याप्त है।

स्प्रिंग कोर में विचाराधीन समस्या नई पहचानी गई कमजोरियों के साथ भ्रमित न हों सीवीई-2022-22963 और सीवीई-2022-22950। पहला मुद्दा स्प्रिंग क्लाउड पैकेज को प्रभावित करता है और रिमोट कोड निष्पादन (शोषण) को भी प्राप्त करने की अनुमति देता है। CVE-2022-22963 स्प्रिंग क्लाउड 3.1.7 और 3.2.3 रिलीज में तय किया गया है।

दूसरा अंक CVE-2022-22950 स्प्रिंग एक्सप्रेशन में मौजूद है, इसका उपयोग DoS हमलों को लॉन्च करने के लिए किया जा सकता है, और इसे स्प्रिंग फ्रेमवर्क 5.3.17 में तय किया गया है। ये मौलिक रूप से भिन्न कमजोरियां हैं। स्प्रिंग फ्रेमवर्क डेवलपर्स ने अभी तक नई भेद्यता के बारे में कोई बयान नहीं दिया है और न ही कोई सुधार जारी किया है।

अस्थायी सुरक्षा उपाय के रूप में, यह अनुशंसा की जाती है कि आप अपने कोड में अमान्य क्वेरी पैरामीटर की काली सूची का उपयोग करें।

अभी तक यह स्पष्ट नहीं है कि परिणाम कितने विनाशकारी हो सकते हैं पहचाने गए मुद्दे की और क्या लॉग4j 2 में भेद्यता के मामले में हमले बड़े पैमाने पर होंगे। भेद्यता को स्प्रिंग4शेल, सीवीई-2022-22965, और अपडेट स्प्रिंग फ्रेमवर्क 5.3.18 और 5.2.20 को कोडनेम दिया गया है। भेद्यता को संबोधित करने के लिए।

नवीनतम रिलीज़ किए गए स्प्रिंग संस्करण 31 और 2022 में एक पैच अब 5.3.18 मार्च, 5.2.20 तक उपलब्ध है। हम सभी उपयोगकर्ताओं को अपग्रेड करने की सलाह देते हैं। अपग्रेड करने में असमर्थ लोगों के लिए, निम्नलिखित शमन संभव हैं:

स्प्रिंग कोर में आरसीई की उपस्थिति की पुष्टि करने वाले प्रेटोरियन की पोस्ट के आधार पर, वर्तमान में अनुशंसित दृष्टिकोण शोषण के लिए आवश्यक कमजोर फ़ील्ड पैटर्न की ब्लैकलिस्ट जोड़कर डेटाबाइंडर को पैच करना है।

अंत में हाँ आप इसके बारे में अधिक जानने में रुचि रखते हैं नोट के बारे में, आप विवरण देख सकते हैं निम्नलिखित लिंक में


पहली टिप्पणी करने के लिए

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।