Nesen šīs ziņas to uzzināja tika atklāta nulles dienas veida kritiska ievainojamība modulī Spring Core tiek piegādāts kā daļa no Spring Framework, kas ļauj attālam, neautentificētam uzbrucējam izpildīt savu kodu serverī.
Pēc dažām aplēsēm Spring Core modulis izmanto 74% Java lietojumprogrammu. Ievainojamības draudus samazina tas, ka tikai lietojumprogrammas, kas izmantojiet anotāciju "@RequestMapping".Pieslēdzot pieprasījumu apstrādātājus un izmantojot tīmekļa veidlapas parametru saistīšanu formātā “name=value” (POJO, vienkāršs vecais Java objekts), nevis JSON/XML, tie ir jutīgi pret uzbrukumiem. Pagaidām nav skaidrs, kuras Java lietojumprogrammas un ietvarus šī problēma skar.
Šī ievainojamība ar nosaukumu "Spring4Shell" izmanto klases injekcijas priekšrocības, kas noved pie pilnīgas RCE, un ir ļoti nopietna. Nosaukums "Spring4Shell" tika izvēlēts, jo Spring Core ir visuresoša bibliotēka, kas ir līdzīga log4j, kas radīja bēdīgi slaveno Log4Shell ievainojamību.
Mēs uzskatām, ka lietotāji, kuri izmanto JDK 9. versiju un jaunāku versiju, ir neaizsargāti pret RCE uzbrukumu. Tiek ietekmētas visas Spring Core versijas.
Pastāv stratēģijas uzbrukuma mazināšanai, un mēs uzskatām, ka ne visi Spring serveri noteikti ir neaizsargāti atkarībā no citiem tālāk apspriestajiem faktoriem. Tomēr mēs pašlaik iesakām visiem lietotājiem piemērot mīkstināšanas vai jaunināšanu, ja viņi izmanto Spring Core.
Ievainojamības izmantošana ir iespējama tikai tad, ja tiek izmantota Java/JDK 9 vai jaunāka versija. Ievainojamība bloķē lauku "class", "module" un "classLoader" iekļaušanu melnajā sarakstā vai nepārprotama atļauto lauku baltā saraksta izmantošanu.
Problēma ir saistīts ar spēju apiet aizsardzību pret CVE-2010-1622 ievainojamību, Izlabots 2010. gada pavasara ietvarā un saistīts ar classLoader apdarinātāja izpildi, parsējot pieprasījuma parametrus.
Ekspluatācijas darbība tiek samazināta līdz pieprasījuma nosūtīšanai car parametriem "class.module.classLoader.resources.context.parent.pipeline.first.*", kuru apstrāde, izmantojot "WebappClassLoaderBase", noved pie AccessLogValve klases izsaukuma.
Norādītā klase ļauj konfigurēt reģistrētāju, lai Apache Tomcat saknes vidē izveidotu patvaļīgu jsp failu un ierakstītu šajā failā uzbrucēja norādīto kodu. Izveidotais fails ir pieejams tiešiem pieprasījumiem un to var izmantot kā tīmekļa čaulu. Lai uzbruktu neaizsargātai lietojumprogrammai Apache Tomcat vidē, pietiek ar pieprasījumu ar noteiktiem parametriem nosūtīt, izmantojot curl utilītu.
Problēma, kas tiek aplūkota programmā Spring Core nedrīkst sajaukt ar jaunatklātām ievainojamībām CVE-2022-22963 un CVE-2022-22950. Pirmā problēma skar Spring Cloud pakotni, kā arī ļauj veikt attālinātu koda izpildi (izmantošanu). CVE-2022-22963 ir labots Spring Cloud 3.1.7 un 3.2.3 laidienos.
Otrais numurs CVE-2022-22950 ir pieejams programmā Spring Expression, to var izmantot, lai palaistu DoS uzbrukumus, un tas ir labots Spring Framework 5.3.17. Tās ir principiāli atšķirīgas ievainojamības. Spring Framework izstrādātāji vēl nav snieguši nekādu paziņojumu par jauno ievainojamību un nav izlaiduši labojumu.
Kā pagaidu aizsardzības līdzekli ir ieteicams savā kodā izmantot nederīgo vaicājuma parametru melno sarakstu.
Joprojām nav skaidrs, cik katastrofālas var būt sekas identificēto problēmu un to, vai uzbrukumi būs tikpat apjomīgi kā Log4j 2 ievainojamības gadījumā. Ievainojamība ir nosaukta Spring4Shell, CVE-2022-22965, un ir izlaisti atjauninājumi Spring Framework 5.3.18 un 5.2.20. lai novērstu ievainojamību.
No 31. gada 2022. marta tagad ir pieejams ielāps jaunākajās pavasara versijās 5.3.18 un 5.2.20. Mēs iesakām visiem lietotājiem veikt jaunināšanu. Tiem, kuri nevar veikt jaunināšanu, ir iespējami šādi mazināšanas pasākumi:
Pamatojoties uz Pretoriāna ziņu, kas apstiprina RCE klātbūtni Spring Core, pašlaik ieteicamā pieeja ir DataBinder ielāps, pievienojot ekspluatācijai nepieciešamo ievainojamo lauku modeļu melno sarakstu.
Beidzot jā jūs interesē uzzināt vairāk par to par piezīmi, varat pārbaudīt informāciju Šajā saitē.