Nemrégiben a hír ezt megszakította nulladik nap típusú kritikus sérülékenységet észleltek a modulban A Spring Core-t a Spring Framework részeként szállítjuk, amely lehetővé teszi egy távoli, hitelesítés nélküli támadó számára, hogy végrehajtsa kódját a szerveren.
Egyes becslések szerint a Spring Core modul a Java alkalmazások 74%-ában használják. A sérülékenység veszélyét csökkenti, hogy csak olyan alkalmazások, amelyek használja a "@RequestMapping" megjegyzéstA kéréskezelők összekapcsolásával és a webes űrlap paraméter-összerendelésével a JSON/XML helyett a „name=value” (POJO, sima régi Java objektum) formátumban használva a támadásokat. Egyelőre nem világos, hogy mely Java alkalmazásokat és keretrendszereket érinti a probléma.
Ez a "Spring4Shell" nevű sebezhetőség kihasználja az osztályinjektálás lehetőségét, amely teljes RCE-hez vezet, és nagyon komoly. A "Spring4Shell" nevet azért választották, mert a Spring Core egy mindenütt jelenlévő könyvtár, hasonlóan a log4j-hez, amely a hírhedt Log4Shell sebezhetőséget hozta létre.
Úgy gondoljuk, hogy a JDK 9-es vagy újabb verzióját futtató felhasználók ki vannak téve az RCE-támadásoknak. A Spring Core összes verziója érintett.
Vannak stratégiák a támadás mérséklésére, és úgy gondoljuk, hogy az alábbiakban tárgyalt egyéb tényezőktől függően nem minden Spring szerver feltétlenül sebezhető. Ennek ellenére jelenleg azt javasoljuk, hogy minden felhasználó alkalmazzon enyhítéseket vagy frissítéseket, ha Spring Core-t használ.
A sérülékenység kihasználása csak Java/JDK 9 használata esetén lehetséges vagy egy újabb verzió. A biztonsági rés blokkolja a „class”, „module” és „classLoader” mezők feketelistájának felvételét, illetve az engedélyezett mezők explicit engedélyezési listájának használatát.
A probléma annak köszönhető, hogy képes megkerülni a CVE-2010-1622 biztonsági réssel szembeni védelmet, Javítva a tavaszi keretrendszerben 2010-ben, és a kérésparaméterek elemzésekor a classLoader kezelő végrehajtásához társítva.
Az exploit működése egy kérés küldésére redukálódik ca "class.module.classLoader.resources.context.parent.pipeline.first.*" paraméterekkel, amelyek feldolgozása a "WebappClassLoaderBase" használatakor az AccessLogValve osztály meghívásához vezet.
A megadott osztály lehetővé teszi a naplózó konfigurálását úgy, hogy az Apache Tomcat gyökérkörnyezetében tetszőleges jsp-fájlt hozzon létre, és ebbe a fájlba írja be a támadó által megadott kódot. A létrehozott fájl elérhető közvetlen kérésekhez, és webhéjként használható. Egy sebezhető alkalmazás megtámadásához az Apache Tomcat környezetben elegendő egy kérést küldeni bizonyos paraméterekkel a curl segédprogrammal.
A Spring Core-ban vizsgált probléma nem tévesztendő össze az újonnan azonosított sebezhetőségekkel CVE-2022-22963 és CVE-2022-22950. Az első probléma a Spring Cloud csomagot érinti, és lehetővé teszi a távoli kódfuttatást (exploit) is. A CVE-2022-22963 javítva van a Spring Cloud 3.1.7 és 3.2.3 kiadásaiban.
A második kiadás, a CVE-2022-22950 jelen van a Spring Expressionben, DoS-támadások indítására használható, és a Spring Framework 5.3.17-ben javítva. Ezek alapvetően különböző sebezhetőségek. A Spring Framework fejlesztői még nem nyilatkoztak az új sebezhetőségről, és nem adtak ki javítást sem.
Ideiglenes védelmi intézkedésként javasolt az érvénytelen lekérdezési paraméterek tiltólistája használata a kódban.
még nem világos, hogy a következmények milyen katasztrofálisak lehetnek Az azonosított problémáról, és arról, hogy a támadások olyan tömegesek lesznek-e, mint a Log4j 2 sebezhetősége esetében. A biztonsági rés kódneve Spring4Shell, CVE-2022-22965, és megjelentek a Spring Framework 5.3.18 és 5.2.20 frissítései a sebezhetőség kezelésére.
31. március 2022-től elérhető egy javítás a legújabb, tavaszi 5.3.18-as és 5.2.20-as verziókban. Minden felhasználónak javasoljuk a frissítést. Azok számára, akik nem tudnak frissíteni, a következő enyhítések lehetségesek:
Praetorian bejegyzése alapján, amely megerősíti az RCE jelenlétét a Spring Core-ban, a jelenleg javasolt megközelítés a DataBinder javítása a kihasználáshoz szükséges sebezhető mezőminták feketelistájának hozzáadásával.
Végül igen szeretne többet megtudni róla a jegyzetről ellenőrizheti a részleteket A következő linken.