ಅವರು ಸ್ಪ್ರಿಂಗ್ ಫ್ರೇಮ್‌ವರ್ಕ್‌ನಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಹಿಡಿದರು

Darkcrizt

4 ನಿಮಿಷಗಳು

ಇತ್ತೀಚೆಗೆ ಸುದ್ದಿ ಅದನ್ನು ಮುರಿಯಿತು ಶೂನ್ಯ ದಿನದ ಪ್ರಕಾರದ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲಾಗಿದೆ ಮಾಡ್ಯೂಲ್ನಲ್ಲಿ ಸ್ಪ್ರಿಂಗ್ ಕೋರ್ ಅನ್ನು ಸ್ಪ್ರಿಂಗ್ ಫ್ರೇಮ್‌ವರ್ಕ್‌ನ ಭಾಗವಾಗಿ ರವಾನಿಸಲಾಗಿದೆ, ಇದು ರಿಮೋಟ್, ದೃಢೀಕರಿಸದ ಆಕ್ರಮಣಕಾರರು ತಮ್ಮ ಕೋಡ್ ಅನ್ನು ಸರ್ವರ್‌ನಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.

ಕೆಲವು ಅಂದಾಜಿನ ಪ್ರಕಾರ, ಸ್ಪ್ರಿಂಗ್ ಕೋರ್ ಮಾಡ್ಯೂಲ್ 74% ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಬಳಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯ ಅಪಾಯವು ಕೇವಲ ಅನ್ವಯಗಳ ಮೂಲಕ ಕಡಿಮೆಯಾಗುತ್ತದೆ ಗೆ "@RequestMapping" ಟಿಪ್ಪಣಿಯನ್ನು ಬಳಸಿವಿನಂತಿ ಹ್ಯಾಂಡ್ಲರ್‌ಗಳನ್ನು ಹುಕ್ ಅಪ್ ಮಾಡುವ ಮೂಲಕ ಮತ್ತು JSON/XML ಗಿಂತ "ಹೆಸರು=ಮೌಲ್ಯ" (POJO, ಪ್ಲೈನ್ ​​ಓಲ್ಡ್ ಜಾವಾ ಆಬ್ಜೆಕ್ಟ್) ಸ್ವರೂಪದಲ್ಲಿ ವೆಬ್ ಫಾರ್ಮ್ ಪ್ಯಾರಾಮೀಟರ್ ಬೈಂಡಿಂಗ್ ಅನ್ನು ಬಳಸುವ ಮೂಲಕ, ಅವರು ಆಕ್ರಮಣಕ್ಕೆ ಒಳಗಾಗುತ್ತಾರೆ. ಯಾವ ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮತ್ತು ಚೌಕಟ್ಟುಗಳು ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿವೆ ಎಂಬುದು ಇನ್ನೂ ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ.

"Spring4Shell" ಎಂದು ಹೆಸರಿಸಲಾದ ಈ ದುರ್ಬಲತೆಯು ಪೂರ್ಣ RCE ಗೆ ಕಾರಣವಾಗುವ ವರ್ಗ ಇಂಜೆಕ್ಷನ್‌ನ ಪ್ರಯೋಜನವನ್ನು ಪಡೆಯುತ್ತದೆ ಮತ್ತು ಇದು ತುಂಬಾ ಗಂಭೀರವಾಗಿದೆ. "Spring4Shell" ಎಂಬ ಹೆಸರನ್ನು ಆರಿಸಲಾಗಿದೆ ಏಕೆಂದರೆ ಸ್ಪ್ರಿಂಗ್ ಕೋರ್ ಒಂದು ಸರ್ವತ್ರ ಗ್ರಂಥಾಲಯವಾಗಿದೆ, ಇದು ಕುಖ್ಯಾತ Log4Shell ದುರ್ಬಲತೆಯನ್ನು ಹುಟ್ಟುಹಾಕಿದ log4j ಅನ್ನು ಹೋಲುತ್ತದೆ.

JDK ಆವೃತ್ತಿ 9 ಮತ್ತು ನಂತರ ಚಾಲನೆಯಲ್ಲಿರುವ ಬಳಕೆದಾರರು RCE ದಾಳಿಗೆ ಗುರಿಯಾಗುತ್ತಾರೆ ಎಂದು ನಾವು ನಂಬುತ್ತೇವೆ. ಸ್ಪ್ರಿಂಗ್ ಕೋರ್‌ನ ಎಲ್ಲಾ ಆವೃತ್ತಿಗಳು ಪರಿಣಾಮ ಬೀರುತ್ತವೆ.

ದಾಳಿಯನ್ನು ತಗ್ಗಿಸಲು ತಂತ್ರಗಳಿವೆ ಮತ್ತು ಕೆಳಗೆ ಚರ್ಚಿಸಲಾದ ಇತರ ಅಂಶಗಳನ್ನು ಅವಲಂಬಿಸಿ ಎಲ್ಲಾ ಸ್ಪ್ರಿಂಗ್ ಸರ್ವರ್‌ಗಳು ಅಗತ್ಯವಾಗಿ ದುರ್ಬಲವಾಗಿರುವುದಿಲ್ಲ ಎಂದು ನಾವು ನಂಬುತ್ತೇವೆ. ಎಲ್ಲಾ ಬಳಕೆದಾರರು ಸ್ಪ್ರಿಂಗ್ ಕೋರ್ ಅನ್ನು ಬಳಸುತ್ತಿದ್ದರೆ ತಗ್ಗಿಸುವಿಕೆ ಅಥವಾ ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡಲು ನಾವು ಪ್ರಸ್ತುತ ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ.

Java/JDK 9 ಬಳಸುವಾಗ ಮಾತ್ರ ದುರ್ಬಲತೆಯ ದುರ್ಬಳಕೆ ಸಾಧ್ಯ ಅಥವಾ ಹೊಸ ಆವೃತ್ತಿ. ದುರ್ಬಲತೆಯು "ಕ್ಲಾಸ್", "ಮಾಡ್ಯೂಲ್", ಮತ್ತು "ಕ್ಲಾಸ್‌ಲೋಡರ್" ಕ್ಷೇತ್ರಗಳ ಕಪ್ಪುಪಟ್ಟಿಗೆ ಅಥವಾ ಅನುಮತಿಸಲಾದ ಕ್ಷೇತ್ರಗಳ ಸ್ಪಷ್ಟ ಶ್ವೇತಪಟ್ಟಿಯ ಬಳಕೆಯನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ.

ಸಮಸ್ಯೆ CVE-2010-1622 ದುರ್ಬಲತೆಯ ವಿರುದ್ಧ ರಕ್ಷಣೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯದಿಂದಾಗಿ, 2010 ರಲ್ಲಿ ಸ್ಪ್ರಿಂಗ್ ಫ್ರೇಮ್‌ವರ್ಕ್‌ನಲ್ಲಿ ಸರಿಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ವಿನಂತಿಯ ನಿಯತಾಂಕಗಳನ್ನು ಪಾರ್ಸ್ ಮಾಡುವಾಗ ಕ್ಲಾಸ್‌ಲೋಡರ್ ಹ್ಯಾಂಡ್ಲರ್‌ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಗೆ ಸಂಬಂಧಿಸಿದೆ.

ಶೋಷಣೆಯ ಕಾರ್ಯಾಚರಣೆಯು ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲು ಕಡಿಮೆಯಾಗಿದೆ c"class.module.classLoader.resources.context.parent.pipeline.first.*" ನಿಯತಾಂಕಗಳೊಂದಿಗೆ, "WebappClassLoaderBase" ಅನ್ನು ಬಳಸುವಾಗ ಅದರ ಪ್ರಕ್ರಿಯೆಯು AccessLogValve ವರ್ಗಕ್ಕೆ ಕರೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ.

ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ವರ್ಗವು ಅಪಾಚೆ ಟಾಮ್‌ಕ್ಯಾಟ್‌ನ ಮೂಲ ಪರಿಸರದಲ್ಲಿ ಅನಿಯಂತ್ರಿತ jsp ಫೈಲ್ ಅನ್ನು ರಚಿಸಲು ಲಾಗರ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಮತ್ತು ಈ ಫೈಲ್‌ಗೆ ಆಕ್ರಮಣಕಾರರಿಂದ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಕೋಡ್ ಅನ್ನು ಬರೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ರಚಿಸಿದ ಫೈಲ್ ನೇರ ವಿನಂತಿಗಳಿಗೆ ಲಭ್ಯವಿದೆ ಮತ್ತು ವೆಬ್ ಶೆಲ್ ಆಗಿ ಬಳಸಬಹುದು. ಅಪಾಚೆ ಟಾಮ್‌ಕ್ಯಾಟ್ ಪರಿಸರದಲ್ಲಿ ದುರ್ಬಲ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಆಕ್ರಮಣ ಮಾಡಲು, ಕರ್ಲ್ ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಕೆಲವು ನಿಯತಾಂಕಗಳೊಂದಿಗೆ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲು ಸಾಕು.

ಸ್ಪ್ರಿಂಗ್ ಕೋರ್‌ನಲ್ಲಿ ಪರಿಗಣನೆಯಲ್ಲಿರುವ ಸಮಸ್ಯೆ ಹೊಸದಾಗಿ ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆಗಳೊಂದಿಗೆ ಗೊಂದಲಕ್ಕೀಡಾಗಬಾರದು CVE-2022-22963 ಮತ್ತು CVE-2022-22950. ಮೊದಲ ಸಂಚಿಕೆಯು ಸ್ಪ್ರಿಂಗ್ ಕ್ಲೌಡ್ ಪ್ಯಾಕೇಜ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಮತ್ತು ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ (ಶೋಷಣೆ) ಸಾಧಿಸಲು ಸಹ ಅನುಮತಿಸುತ್ತದೆ. CVE-2022-22963 ಅನ್ನು ಸ್ಪ್ರಿಂಗ್ ಕ್ಲೌಡ್ 3.1.7 ಮತ್ತು 3.2.3 ಬಿಡುಗಡೆಗಳಲ್ಲಿ ನಿಗದಿಪಡಿಸಲಾಗಿದೆ.

ಎರಡನೇ ಸಂಚಿಕೆ CVE-2022-22950 ಸ್ಪ್ರಿಂಗ್ ಎಕ್ಸ್‌ಪ್ರೆಶನ್‌ನಲ್ಲಿದೆ, ಇದನ್ನು DoS ದಾಳಿಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಬಳಸಬಹುದು ಮತ್ತು ಸ್ಪ್ರಿಂಗ್ ಫ್ರೇಮ್‌ವರ್ಕ್ 5.3.17 ರಲ್ಲಿ ನಿವಾರಿಸಲಾಗಿದೆ. ಇವು ಮೂಲಭೂತವಾಗಿ ವಿಭಿನ್ನ ದುರ್ಬಲತೆಗಳಾಗಿವೆ. ಸ್ಪ್ರಿಂಗ್ ಫ್ರೇಮ್‌ವರ್ಕ್ ಡೆವಲಪರ್‌ಗಳು ಇನ್ನೂ ಹೊಸ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಯಾವುದೇ ಹೇಳಿಕೆಯನ್ನು ನೀಡಿಲ್ಲ ಮತ್ತು ಫಿಕ್ಸ್ ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿಲ್ಲ.

ತಾತ್ಕಾಲಿಕ ರಕ್ಷಣೆಯ ಕ್ರಮವಾಗಿ, ನಿಮ್ಮ ಕೋಡ್‌ನಲ್ಲಿ ಅಮಾನ್ಯವಾದ ಪ್ರಶ್ನೆ ಪ್ಯಾರಾಮೀಟರ್‌ಗಳ ಕಪ್ಪುಪಟ್ಟಿಯನ್ನು ಬಳಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.

ಇನ್ನೂ ಪರಿಣಾಮಗಳು ಎಷ್ಟು ದುರಂತವಾಗಬಹುದು ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ ಗುರುತಿಸಲಾದ ಸಮಸ್ಯೆಯ ಮತ್ತು ದಾಳಿಗಳು Log4j 2 ರಲ್ಲಿನ ದುರ್ಬಲತೆಯ ಸಂದರ್ಭದಲ್ಲಿ ಬೃಹತ್ ಪ್ರಮಾಣದಲ್ಲಿರುತ್ತವೆಯೇ. ದುರ್ಬಲತೆಯನ್ನು Spring4Shell, CVE-2022-22965 ಎಂಬ ಸಂಕೇತನಾಮದಲ್ಲಿ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಸ್ಪ್ರಿಂಗ್ ಫ್ರೇಮ್‌ವರ್ಕ್ 5.3.18 ಮತ್ತು 5.2.20 ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ. ದುರ್ಬಲತೆಯನ್ನು ಪರಿಹರಿಸಲು.

ಇತ್ತೀಚಿನ ಬಿಡುಗಡೆಯಾದ 31 ಮತ್ತು 2022 ಸ್ಪ್ರಿಂಗ್ ಆವೃತ್ತಿಗಳಲ್ಲಿ ಮಾರ್ಚ್ 5.3.18, 5.2.20 ರಂತೆ ಪ್ಯಾಚ್ ಈಗ ಲಭ್ಯವಿದೆ. ಎಲ್ಲಾ ಬಳಕೆದಾರರನ್ನು ನವೀಕರಿಸಲು ನಾವು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ. ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡಲು ಸಾಧ್ಯವಾಗದವರಿಗೆ, ಈ ಕೆಳಗಿನ ತಗ್ಗಿಸುವಿಕೆಗಳು ಸಾಧ್ಯ:

ಸ್ಪ್ರಿಂಗ್ ಕೋರ್‌ನಲ್ಲಿ ಆರ್‌ಸಿಇ ಇರುವಿಕೆಯನ್ನು ದೃಢೀಕರಿಸುವ ಪ್ರಿಟೋರಿಯನ್ ಪೋಸ್ಟ್‌ನ ಆಧಾರದ ಮೇಲೆ, ಪ್ರಸ್ತುತ ಶಿಫಾರಸು ಮಾಡಲಾದ ವಿಧಾನವೆಂದರೆ ಶೋಷಣೆಗೆ ಅಗತ್ಯವಿರುವ ದುರ್ಬಲ ಕ್ಷೇತ್ರ ಮಾದರಿಗಳ ಕಪ್ಪುಪಟ್ಟಿಯನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ಡೇಟಾ ಬೈಂಡರ್ ಅನ್ನು ಪ್ಯಾಚ್ ಮಾಡುವುದು.

ಅಂತಿಮವಾಗಿ ಹೌದು ನೀವು ಅದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದೀರಿ ಟಿಪ್ಪಣಿಯ ಬಗ್ಗೆ, ನೀವು ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್‌ನಲ್ಲಿ.


ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಈಮೇಲ್ ವಿಳಾಸ ಪ್ರಕಟವಾದ ಆಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಜಾಗ ಗುರುತಿಸಲಾಗಿದೆ *

*

*

  1. ಡೇಟಾಗೆ ಜವಾಬ್ದಾರಿ: ಮಿಗುಯೆಲ್ ಏಂಜೆಲ್ ಗಟಾನ್
  2. ಡೇಟಾದ ಉದ್ದೇಶ: ನಿಯಂತ್ರಣ SPAM, ಕಾಮೆಂಟ್ ನಿರ್ವಹಣೆ.
  3. ಕಾನೂನುಬದ್ಧತೆ: ನಿಮ್ಮ ಒಪ್ಪಿಗೆ
  4. ಡೇಟಾದ ಸಂವಹನ: ಕಾನೂನುಬದ್ಧ ಬಾಧ್ಯತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಡೇಟಾವನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಂವಹನ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
  5. ಡೇಟಾ ಸಂಗ್ರಹಣೆ: ಆಕ್ಸೆಂಟಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು (ಇಯು) ಹೋಸ್ಟ್ ಮಾಡಿದ ಡೇಟಾಬೇಸ್
  6. ಹಕ್ಕುಗಳು: ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಮಾಹಿತಿಯನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು, ಮರುಪಡೆಯಬಹುದು ಮತ್ತು ಅಳಿಸಬಹುದು.