Ongepatchte Java Spring Framework 0-Day RCE Bug bedreigt Enterprise Web Apps Security

Java Spring Framework 0-Day RCE Nachrichten

Kort na een Chinese beveiligingsonderzoeker is een zero-day remote code execution (RCE)-kwetsbaarheid aan het licht gekomen in het Spring-framework kort gelekt een proof-of-concept (PoC) uitbuiten op GitHub voordat ze hun account verwijderen.

Volgens cyberbeveiligingsbedrijf Praetorian heeft de niet-gepatchte fout gevolgen voor Spring Core op Java Development Kit (JDK) versies 9 en hoger en is een bypass voor een andere kwetsbaarheid die wordt bijgehouden als CVE-2010-1622waardoor een niet-geverifieerde aanvaller willekeurige code op het doelsysteem kan uitvoeren.

De lente is een softwareframework voor het bouwen van Java-applicaties, inclusief web-apps bovenop het Java EE (Enterprise Edition) platform.

„In bepaalde configuraties is misbruik van dit probleem eenvoudig, omdat een aanvaller alleen een bewerkt HTTP-verzoek naar een kwetsbaar systeem hoeft te sturen“, onderzoekers Anthony Weems en Dallas Kaman zei. „Voor het exploiteren van verschillende configuraties moet de aanvaller echter aanvullend onderzoek doen om payloads te vinden die effectief zijn.“

Aanvullende details van de fout, genaamd „lenteschelp“ en „Spring4Shell“ zijn achtergehouden om uitbuitingspogingen te voorkomen en totdat er een oplossing is gevonden door de beheerders van het framework, Spring.io, een dochteronderneming van VMware. Er moet ook nog een Common Vulnerabilities and Exposures (CVE) identifier worden toegewezen.

Het is vermeldenswaard dat de fout waarop de zero-day exploit gericht is, verschilt van twee eerdere kwetsbaarheden die deze week in het applicatieframework zijn onthuld, waaronder de Spring Framework-expressie DoS-kwetsbaarheid (CVE-2022-22950) en de kwetsbaarheid voor toegang tot bronnen voor Spring Cloud-expressie (CVE-2022-22963).

In de tussentijd beveelt het bedrijf aan „een ControllerAdvice-component te maken (een Spring-component die door controllers wordt gedeeld) en gevaarlijke patronen aan de weigerlijst toe te voegen.“

Een eerste analyse van de nieuwe code-uitvoeringsfout in Spring Core suggereert dat de impact ervan niet ernstig is. „[C]Volgens actuele informatie zullen aanvallers, om de kwetsbaarheid te misbruiken, webapp-instanties moeten lokaliseren en identificeren die daadwerkelijk de DeserializationUtils gebruiken, iets waarvan ontwikkelaars al weten dat het gevaarlijk is“, zegt Flashpoint. zei in een onafhankelijke analyse.

Ondanks de publieke beschikbaarheid van PoC-exploits, „is het momenteel onduidelijk welke real-world applicaties de kwetsbare functionaliteit gebruiken“, Rapid7 uitgelegd. „Configuratie en JRE-versie kunnen ook belangrijke factoren zijn in de exploiteerbaarheid en de waarschijnlijkheid van wijdverbreide exploitatie.“

Het Retail and Hospitality Information Sharing and Analysis Center (ISAC) ook een verklaring afgegeven dat het de „geldigheid“ van de PoC voor de RCE-fout heeft onderzocht en bevestigd, en dat het „voortdurende tests heeft toegevoegd om de geldigheid van de PoC te bevestigen.“

„De Spring4Shell-exploit in het wild lijkt te werken tegen de standaard ‚Handling Form Submission‘-voorbeeldcode van spring.io,“ CERT/CC-kwetsbaarheidsanalist Will Dormann zei in een tweet. „Als de voorbeeldcode kwetsbaar is, vermoed ik dat er inderdaad echte apps zijn die kwetsbaar zijn voor RCE.“

David
Rate author
Hackarizona