Spring4Shell
Een niet-geverifieerde kwetsbaarheid voor het uitvoeren van externe code is openbaar gemaakt in het Spring Core Java-framework.
CVE-2022-22965, genaamd Spring4Shell, is een kritieke kwetsbaarheid met openbaar beschikbare en geldige Proof-of-Concept-code.
CVSS 3.1: 9.8 (basis) / 8.5 (tijdelijk) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E: P/RL:O/RC:R
Invloed
Aanvankelijk was er enige hype dat deze kwetsbaarheid een herhaling van Log4Shell zou kunnen zijn. Rapporten hadden verklaard dat alle versies van Spring Core op JDK 9+ kwetsbaar waren. Onderzoekers hebben later echter vastgesteld dat Spring Core in een bepaalde manier om kwetsbaar te zijn.
Spring stelt ook de volgende vereisten voor succesvolle exploitatie:
– JDK 9 of hoger
– Apache Tomcat als de Servlet-container
– Verpakt als WAR
– afhankelijkheid van lente-webmvc of lente-webflux
“Als de applicatie wordt geïmplementeerd als een uitvoerbare jar van Spring Boot, d.w.z. de standaard, is deze niet kwetsbaar voor de exploit”, luidt de verklaring.
Naarmate het verhaal in dit geval evolueert, zullen we ons spotit-bulletin bijwerken.
Beperkende maatregelen
Spring heeft Spring Framework geüpdatet naar 5.3.18 en 5.2.20 om de kwetsbaarheid te patchen. Spring Boot met Spring Framework is ook bijgewerkt naar 2.6.6 en 2.5.12.
Palo Alto Networks heeft een diepgaand rapport gepubliceerd over Spring4Shell en advies dat NGFW’s met een Threat Prevention-abonnement verkeer met betrekking tot deze kwetsbaarheid kunnen blokkeren.
CVE-2022-22963
Een afzonderlijke kwetsbaarheid werd ook onthuld in Spring Cloud Function-versies 3.1.6, 3.2.2 en oudere niet-ondersteunde versies. CVE-2022-22963 is een kritieke kwetsbaarheid voor het uitvoeren van externe code en we zullen dit bulletin ook bijwerken als deze zaak zich verder ontwikkelt.