Baru-baru ini berita itu menyahkannya kelemahan kritikal jenis sifar hari telah dikesan dalam modul Teras Spring dihantar sebagai sebahagian daripada Rangka Kerja Spring, yang membenarkan penyerang jauh dan tidak disahkan untuk melaksanakan kod mereka pada pelayan.
Mengikut beberapa anggaran, modul Teras Spring digunakan dalam 74% aplikasi Java. Bahaya kelemahan dikurangkan oleh fakta bahawa hanya aplikasi itu gunakan anotasi "@RequestMapping" untukDengan menghubungkan pengendali permintaan dan menggunakan pengikatan parameter borang web dalam format "nama=nilai" (POJO, Objek Java Lama Biasa), bukannya JSON/XML, mereka terdedah kepada serangan. Masih belum jelas lagi aplikasi dan rangka kerja Java yang terjejas oleh isu tersebut.
Kerentanan ini, dinamakan "Spring4Shell", mengambil kesempatan daripada suntikan kelas yang membawa kepada RCE penuh dan sangat serius. Nama "Spring4Shell" dipilih kerana Spring Core ialah perpustakaan di mana-mana, serupa dengan log4j yang mencetuskan kelemahan Log4Shell yang terkenal.
Kami percaya bahawa pengguna yang menjalankan JDK versi 9 dan lebih baru terdedah kepada serangan RCE. Semua versi Spring Core terjejas.
Terdapat strategi untuk mengurangkan serangan dan kami percaya bahawa tidak semua pelayan Spring semestinya terdedah, bergantung pada faktor lain yang dibincangkan di bawah. Walau bagaimanapun, pada masa ini kami mengesyorkan agar semua pengguna menggunakan mitigasi atau naik taraf jika mereka menggunakan Spring Core.
Eksploitasi kelemahan hanya boleh dilakukan apabila menggunakan Java/JDK 9 atau versi yang lebih baru. Kerentanan menyekat penyenaraian hitam medan "kelas", "modul" dan "classLoader" atau penggunaan senarai putih eksplisit medan yang dibenarkan.
Masalahnya adalah disebabkan oleh keupayaan untuk memintas perlindungan terhadap kerentanan CVE-2010-1622, Dibetulkan dalam Rangka Kerja Spring pada tahun 2010 dan dikaitkan dengan pelaksanaan pengendali classLoader apabila menghuraikan parameter permintaan.
Operasi eksploitasi dikurangkan kepada menghantar permintaan cdengan parameter "class.module.classLoader.resources.context.parent.pipeline.first.*", pemprosesannya, apabila menggunakan "WebappClassLoaderBase", membawa kepada panggilan ke kelas AccessLogValve.
Kelas yang ditentukan membolehkan anda mengkonfigurasi logger untuk mencipta fail jsp sewenang-wenangnya dalam persekitaran akar Apache Tomcat dan menulis kod yang ditentukan oleh penyerang ke fail ini. Fail yang dibuat tersedia untuk permintaan langsung dan boleh digunakan sebagai cangkerang web. Untuk menyerang aplikasi yang terdedah dalam persekitaran Apache Tomcat, cukup untuk menghantar permintaan dengan parameter tertentu menggunakan utiliti curl.
Masalah yang sedang dipertimbangkan dalam Spring Core tidak boleh dikelirukan dengan kelemahan yang baru dikenal pasti CVE-2022-22963 dan CVE-2022-22950. Isu pertama menjejaskan pakej Spring Cloud dan juga membenarkan pelaksanaan kod jauh (eksploitasi) dicapai. CVE-2022-22963 ditetapkan dalam keluaran Spring Cloud 3.1.7 dan 3.2.3.
Isu kedua CVE-2022-22950 hadir dalam Spring Expression, boleh digunakan untuk melancarkan serangan DoS dan dibetulkan dalam Spring Framework 5.3.17. Ini adalah kelemahan asas yang berbeza. Pembangun Spring Framework belum lagi membuat sebarang kenyataan tentang kerentanan baharu dan belum mengeluarkan pembetulan.
Sebagai langkah perlindungan sementara, anda disyorkan supaya menggunakan senarai hitam parameter pertanyaan yang tidak sah dalam kod anda.
Masih adalah tidak jelas bagaimana malapetaka akibatnya isu yang dikenal pasti dan sama ada serangan akan menjadi besar seperti dalam kes kerentanan dalam Log4j 2. Kerentanan telah diberi nama kod Spring4Shell, CVE-2022-22965 dan kemas kini Spring Framework 5.3.18 dan 5.2.20 telah dikeluarkan untuk menangani kelemahan.
Tampalan kini tersedia mulai 31 Mac 2022 dalam versi Spring keluaran terbaharu 5.3.18 dan 5.2.20. Kami mengesyorkan semua pengguna untuk meningkatkan. Bagi mereka yang tidak dapat menaik taraf, mitigasi berikut adalah mungkin:
Berdasarkan catatan Praetorian yang mengesahkan kehadiran RCE dalam Spring Core, pendekatan yang disyorkan pada masa ini adalah untuk menampal DataBinder dengan menambah senarai hitam corak medan terdedah yang diperlukan untuk eksploitasi.
Akhirnya ya anda berminat untuk mengetahui lebih lanjut mengenainya mengenai nota itu, anda boleh menyemak butirannya Dalam pautan berikut.