הם גילו פגיעות במסגרת האביב

Darkcrizt

4 דקות

לאחרונה החדשות פרצו זאת זוהתה פגיעות קריטית מסוג אפס יום במודול Spring Core נשלח כחלק מ-Spring Framework, המאפשר לתוקף מרוחק ולא מאומת לבצע את הקוד שלו בשרת.

לפי כמה הערכות, מודול ליבת האביב בשימוש ב-74% מיישומי Java. הסכנה של פגיעות מצטמצמת על ידי העובדה שרק יישומים זה השתמש בהערה "@RequestMapping" כדיעל ידי חיבור למטפלי בקשות ושימוש בקישור פרמטרים של טופס אינטרנט בפורמט "שם=ערך" (POJO, Plain Old Java Object), במקום JSON/XML, הם רגישים להתקפה. עדיין לא ברור אילו יישומי Java ומסגרות מושפעים מהנושא.

פגיעות זו, ששמה "Spring4Shell", מנצלת את הזרקת הכיתה המובילה ל-RCE מלא והיא חמורה מאוד. השם "Spring4Shell" נבחר מכיוון ש-Spring Core היא ספרייה שנמצאת בכל מקום, בדומה ל-log4j שהולידה את הפגיעות הידועה לשמצה של Log4Shell.

אנו מאמינים שמשתמשים המריצים JDK גרסה 9 ואילך חשופים להתקפת RCE. כל הגרסאות של Spring Core מושפעות.

ישנן אסטרטגיות למתן את המתקפה ואנו מאמינים שלא כל שרתי Spring הם בהכרח פגיעים, בהתאם לגורמים אחרים שנדונו להלן. עם זאת, אנו ממליצים כרגע לכל המשתמשים להחיל הקלות או לשדרג אם הם משתמשים ב-Spring Core.

ניצול הפגיעות אפשרי רק בעת שימוש ב-Java/JDK 9 או גרסה חדשה יותר. הפגיעות חוסמת את הרשימה השחורה של השדות "class", "module" ו-"classLoader" או שימוש ברשימת הלבנים מפורשת של שדות מותרים.

הבעיה נובע מהיכולת לעקוף הגנה מפני הפגיעות של CVE-2010-1622, תוקן ב-Spring Framework בשנת 2010 ומשויך לביצוע של המטפל classLoader בעת ניתוח פרמטרי בקשה.

פעולת הניצול מצטמצמת לשליחת בקשה געם הפרמטרים "class.module.classLoader.resources.context.parent.pipeline.first.*", שעיבודם, בעת שימוש ב-"WebappClassLoaderBase", מוביל לקריאה למחלקה AccessLogValve.

המחלקה שצוינה מאפשרת לך להגדיר את לוגר ליצור קובץ jsp שרירותי בסביבת השורש של Apache Tomcat ולכתוב את הקוד שצוין על ידי התוקף לקובץ זה. הקובץ שנוצר זמין לבקשות ישירות וניתן להשתמש בו כמעטפת אינטרנט. כדי לתקוף אפליקציה פגיעה בסביבת Apache Tomcat, מספיק לשלוח בקשה עם פרמטרים מסוימים באמצעות כלי השירות curl.

הבעיה הנבדקת ב-Spring Core אין לבלבל עם נקודות תורפה שזוהו לאחרונה CVE-2022-22963 ו-CVE-2022-22950. הבעיה הראשונה משפיעה על חבילת Spring Cloud ומאפשרת גם להשיג ביצוע קוד מרחוק (ניצול). CVE-2022-22963 תוקן במהדורות Spring Cloud 3.1.7 ו-3.2.3.

הגיליון השני CVE-2022-22950 קיים ב-Spring Expression, ניתן להשתמש בו להפעלת התקפות DoS, ומתוקן ב-Spring Framework 5.3.17. אלו פגיעות שונות מהותית. מפתחי Spring Framework עדיין לא הצהירו על הפגיעות החדשה ולא פרסמו תיקון.

כאמצעי הגנה זמני, מומלץ להשתמש ברשימה שחורה של פרמטרי שאילתה לא חוקיים בקוד שלך.

בכל זאת לא ברור עד כמה התוצאות יכולות להיות קטסטרופליות של הבעיה שזוהתה והאם ההתקפות יהיו מסיביות כמו במקרה של הפגיעות ב-Log4j 2. הפגיעות קיבלה את שם הקוד Spring4Shell, CVE-2022-22965, ועדכוני Spring Framework 5.3.18 ו-5.2.20 שוחררו לטפל בפגיעות.

תיקון זמין כעת החל מה-31 במרץ 2022 בגרסאות האביב האחרונות שפורסמו 5.3.18 ו-5.2.20. אנו ממליצים לכל המשתמשים לשדרג. עבור אלה שאינם יכולים לשדרג, ההקלות הבאות אפשריות:

בהתבסס על הפוסט של Praetorian המאשר את נוכחותו של RCE ב-Spring Core, הגישה המומלצת כיום היא לתקן את DataBinder על ידי הוספת רשימה שחורה של דפוסי שדות פגיעים הדרושים לניצול.

סוף סוף כן אתה מעוניין לדעת יותר על זה לגבי ההערה, אתה יכול לבדוק את הפרטים בקישור הבא.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.