To nedávno prelomili správy bola zistená kritická zraniteľnosť typu zero day v module Spring Core dodávaný ako súčasť Spring Frameworku, čo umožňuje vzdialenému, neoverenému útočníkovi spustiť svoj kód na serveri.
Podľa niektorých odhadov modul Spring Core používa v 74 % aplikácií Java. Nebezpečenstvo zraniteľnosti znižuje skutočnosť, že iba aplikácie, ktoré použite anotáciu „@RequestMapping“.Zapojením obslužných programov požiadaviek a použitím väzby parametrov webového formulára vo formáte „meno=hodnota“ (POJO, Plain Old Java Object) namiesto JSON/XML sú náchylné na útok. Zatiaľ nie je jasné, ktorých Java aplikácií a frameworkov sa problém týka.
Táto zraniteľnosť s názvom „Spring4Shell“ využíva vstrekovanie triedy vedúce k úplnému RCE a je veľmi závažná. Názov „Spring4Shell“ bol zvolený, pretože Spring Core je všadeprítomná knižnica podobná log4j, ktorá splodila neslávne známu zraniteľnosť Log4Shell.
Sme presvedčení, že používatelia s verziou JDK 9 a novšou sú zraniteľní voči útoku RCE. Ovplyvnené sú všetky verzie Spring Core.
Existujú stratégie na zmiernenie útoku a veríme, že nie všetky servery Spring sú nevyhnutne zraniteľné, v závislosti od ďalších faktorov uvedených nižšie. To znamená, že v súčasnosti odporúčame, aby všetci používatelia použili zmiernenia alebo inovovali, ak používajú Spring Core.
Zneužitie tejto zraniteľnosti je možné len pri použití Java/JDK 9 alebo novšiu verziu. Táto chyba zabezpečenia blokuje pridávanie polí „class“, „module“ a „classLoader“ na čiernu listinu alebo použitie explicitnej bielej listiny povolených polí.
Problém je kvôli schopnosti obísť ochranu proti zraniteľnosti CVE-2010-1622, Opravené v Spring Framework v roku 2010 a spojené s vykonávaním obsluhy classLoader pri analýze parametrov požiadavky.
Prevádzka exploitu je zredukovaná na odoslanie požiadavky cs parametrami "class.module.classLoader.resources.context.parent.pipeline.first.*", ktorých spracovanie pri použití "WebappClassLoaderBase" vedie k volaniu triedy AccessLogValve.
Zadaná trieda vám umožňuje nakonfigurovať zapisovač tak, aby vytvoril ľubovoľný súbor jsp v koreňovom prostredí Apache Tomcat a zapísal do tohto súboru kód určený útočníkom. Vytvorený súbor je k dispozícii pre priame požiadavky a možno ho použiť ako webový shell. Na napadnutie zraniteľnej aplikácie v prostredí Apache Tomcat stačí odoslať požiadavku s určitými parametrami pomocou utility curl.
Problém, o ktorom sa uvažuje v Spring Core nezamieňať s novo identifikovanými zraniteľnosťami CVE-2022-22963 a CVE-2022-22950. Prvý problém sa týka balíka Spring Cloud a umožňuje aj vzdialené spustenie kódu (exploit). CVE-2022-22963 je opravený vo vydaniach Spring Cloud 3.1.7 a 3.2.3.
Druhý problém CVE-2022-22950 je prítomný v Spring Expression, dá sa použiť na spustenie DoS útokov a je opravený v Spring Framework 5.3.17. Ide o zásadne odlišné zraniteľnosti. Vývojári Spring Framework zatiaľ nevyjadrili žiadne vyhlásenie o novej zraniteľnosti a nevydali opravu.
Ako dočasné ochranné opatrenie sa odporúča, aby ste vo svojom kóde použili čiernu listinu neplatných parametrov dotazu.
napriek tomu nie je jasné, aké katastrofálne môžu byť následky identifikovaného problému a či budú útoky také masívne ako v prípade zraniteľnosti v Log4j 2. Zraniteľnosť dostala kódové označenie Spring4Shell, CVE-2022-22965 a boli vydané aktualizácie Spring Framework 5.3.18 a 5.2.20 riešiť zraniteľnosť.
Oprava je teraz k dispozícii od 31. marca 2022 v najnovších verziách jari 5.3.18 a 5.2.20. Odporúčame všetkým používateľom inovovať. Pre tých, ktorí nemôžu inovovať, sú možné nasledujúce zmiernenia:
Na základe Prétorianovho príspevku potvrdzujúceho prítomnosť RCE v Spring Core je v súčasnosti odporúčaný prístup opraviť DataBinder pridaním čiernej listiny vzorov zraniteľných polí potrebných na využitie.
Konečne áno máte záujem o tom vedieť viac o poznámke môžete skontrolovať podrobnosti Na nasledujúcom odkaze.