Atklātas divas kritiskas Java Spring ievainojamības – CVE-2022-22963 un Spring4Shell
Marta beigās publicēta informācija par divām jaunām un kritiskām ievainojamībām, kas savā starpā tiek jauktas. Viena no tām ir CVE-2022-22963 (ietekmēts Spring Cloud) un otra ir CVE-2022-22965 jeb “Spring4Shell” (ietekmēts Java lietojumprogrammu izstrādes ietvars Spring).
Java lietojumprogrammu izstrādes ietvars palīdz paātrināt Java lietotņu izstrādi un to aktīvi izmanto Java programmētāji visā pasaulē.
Īsumā par abām ievainojamībām:
- Ievainojamība (CVE-2022-22963) skar Spring Cloud funkcijas un sniedz uzbrucējam iespēju veikt attālinātā koda izpildi. Ir pieejami atjauninājumi, kas novērš minēto ievainojamību, un tos ieteicams uzstādīt pēc iespējas ātrāk.
- Ievainojamība (CVE-2022-2965) ietekmē Spring Core un arī sniedz uzbrucējam iespēju veikt nesankcionētu attālinātā koda izpildi. Šī ievainojamība tiek dēvēta arī par “Spring4Shell” vai “SpringShell”, un arī šajā gadījumā ir pieejami atjauninājumi, kas novērš minēto ievainojamību.
Brīdinājums! Abām ievainojamībām ir pieejams potenciālās izmantošanas koncepta apraksts (PoC), kas jau tiek izmantots reālos uzbrukumos.
Vai esmu ietekmēts?
CVE-2022-22963 gadījumā esat pakļauts uzbrukuma riskam, ja izmantojat Spring Cloud versijas, kas vecākas par:
- 3.1.7
- 3.2.3
CVE-2022-22965 jeb Spring4Shell gadījumā esat pakļauts riskam, ja izmantojat Spring Core:
- Ar Spring Framework versijām no 5.3.0 līdz 5.3.17
- Ar Spring Framework versijām no 5.2.0 līdz 5.2.19
- Ar vecākām Spring Framework versijām
Papildu Spring4Shell gadījumā esat pakļauts riskam, ja izmantojat:
- JDK9 un jaunākas versijas
- Spring-Beans pakotni
- Spring parametru saistīšanu (Spring parameter binding)
- Parametru saistīšana, kurā tiek izmantoti ne pamata parametru veidi, piemēram, vispārīgie - POJO
Spring4Shell gadījumā varat noteikt, vai esat pakļauts riskam, izmantojot šo rīku – Vulnerability scanner.
Ko darīt?
CVE-2022-22963 gadījumā atjaunināt Spring Cloud funkcijas versiju uz:
- 3.1.7 (vai jaunāku)
- 3.2.3. (vai jaunāku)
CVE-2022-22965 gadījumā atjaunināt uz Spring Core ar ietvara (framework) versiju:
- 3.18 (vai jaunāku)
- 2.19 (vai jaunāku)
Risku mazināšanai (mitigation) Spring4Shell ievainojamības gadījumā:
- Savā tīmekļa lietojumprogrammas ugunsmūrī (Web Aplication Firewall) ieviesiet filtrēšanas un uzraudzības noteikumus (rules), kas atsaucas uz “class” ("class.*", "*.class.*", "Class.*", un "*.Class.*").
- Ja izmantojat YARA, tad varat apskatīt šo vietni, lai labāk saprastu, vai esat pakļauts Spring4Shell ievainojamībai: YARA nosacījumi, lai atpazītu ar Spring4Shell saistītās aktivitātes.
Plašāka informācija:
https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#suggested-workarounds