Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag de onlangs bekendgemaakte kwetsbaarheid voor de uitvoering van externe code (RCE) die van invloed is op het Spring Framework, toegevoegd aan zijn rapport. Catalogus met bekende misbruikte kwetsbaarheden gebaseerd op “bewijs van actieve uitbuiting”.
De kritieke ernstfout, waaraan de identifier CVE-2022-22965 (CVSS-score: 9,8) is toegekend en “Spring4Shell” wordt genoemd, heeft gevolgen voor Spring-model-view-controller (MVC) en Spring WebFlux-applicaties die draaien op Java Development Kit 9 en hoger.
“Exploitatie vereist een eindpunt waarop DataBinder is ingeschakeld (bijvoorbeeld een POST-verzoek dat automatisch gegevens van de verzoektekst decodeert) en is sterk afhankelijk van de servlet-container voor de toepassing”, merkten praetoriaanse onderzoekers Anthony Weems en Dallas Kaman vorige week op.
Hoewel de exacte details van misbruik in het wild onduidelijk blijven, stelt informatiebeveiligingsbedrijf SecurityScorecard zei “Er is actief scannen op deze kwetsbaarheid waargenomen afkomstig van de gebruikelijke verdachten zoals Russische en Chinese IP-ruimte.”
Soortgelijke scanactiviteiten zijn opgemerkt door Akamai en Palo Alto Networks’ Eenheid42met de pogingen die leiden tot de inzet van een webshell voor toegang via de achterdeur en om willekeurige opdrachten op de server uit te voeren met als doel andere malware te leveren of zich binnen het doelnetwerk te verspreiden.
Volgens statistieken vrijgegeven door Sonatype, zijn potentieel kwetsbare versies van het Spring Framework goed voor 81% van de totale downloads van Maven Central-repository sinds het probleem op 31 maart aan het licht kwam.
Cisco, dat is actief onderzoekend zijn line-up om te bepalen welke van hen kunnen worden getroffen door de kwetsbaarheid, bevestigde dat drie van zijn producten worden getroffen –
- Cisco Crosswork-optimalisatie-engine
- Cisco Crosswork Zero Touch Provisioning (ZTP), en
- Cisco Edge Intelligence
VMware heeft van zijn kant ook drie van zijn producten als kwetsbaar beschouwd en biedt waar van toepassing patches en oplossingen aan –
- VMware Tanzu Application Service voor VM’s
- VMware Tanzu Operations Manager, en
- VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)
“Een kwaadwillende actor met netwerktoegang tot een getroffen VMware-product kan dit probleem misbruiken om volledige controle over het doelsysteem te krijgen”, VMware zei in het advies.
Ook door CISA aan de catalogus toegevoegd, zijn twee zero-day-fouten die vorige week door Apple zijn gepatcht (CVE-2022-22674 en CVE-2022-22675) en een kritieke tekortkoming in D-Link-routers (CVE-2021-45382) die actief bewapend door de op Beastmode Mirai gebaseerde DDoS-campagne.
Op grond van de Bindende Operationele Richtlijn (BOD) uitgegeven door CISA in november 2021, moeten de agentschappen van de Federal Civilian Executive Branch (FCEB) de geïdentificeerde kwetsbaarheden vóór 25 april 2022 verhelpen.
