El error RCE de día cero sin parches de Java Spring Framework amenaza la seguridad de las aplicaciones web empresariales

Java Spring Framework 0-Day RCE Noticias

Una vulnerabilidad de ejecución remota de código (RCE) de día cero salió a la luz en el marco de Spring poco después de que un investigador de seguridad chino filtrado brevemente a prueba de concepto (PoC) explotar en GitHub antes de eliminar su cuenta.

Según la empresa de seguridad cibernética Praetorian, la falla sin parchear afecta a Spring Core en el kit de desarrollo de Java (JDK) versiones 9 y posteriores y es un bypass para otra vulnerabilidad rastreada como CVE-2010-1622lo que permite a un atacante no autenticado ejecutar código arbitrario en el sistema de destino.

la primavera es un marco de software para crear aplicaciones Java, incluidas aplicaciones web sobre la plataforma Java EE (Enterprise Edition).

«En ciertas configuraciones, la explotación de este problema es sencilla, ya que solo requiere que un atacante envíe una solicitud HTTP manipulada a un sistema vulnerable», los investigadores Anthony Weems y Dallas Kaman. dijo. «Sin embargo, la explotación de diferentes configuraciones requerirá que el atacante realice una investigación adicional para encontrar cargas útiles que sean efectivas».

Detalles adicionales de la falla, denominada «PrimaveraShell» y «Spring4Shell«se han retenido para evitar intentos de explotación y hasta que los mantenedores del marco, Spring.io, una subsidiaria de VMware, implementen una solución. También aún no se le ha asignado un identificador de vulnerabilidades y exposiciones comunes (CVE).

Vale la pena señalar que la falla a la que se dirige el exploit de día cero es diferente de las dos vulnerabilidades anteriores reveladas en el marco de la aplicación esta semana, incluida la vulnerabilidad DoS de expresión de Spring Framework (CVE-2022-22950) y la vulnerabilidad de acceso a recursos de expresión de Spring Cloud (CVE-2022-22963).

Mientras tanto, la compañía recomienda «crear un componente ControllerAdvice (que es un componente de Spring compartido entre los controladores) y agregar patrones peligrosos a la lista de denegación».

El análisis inicial de la nueva falla de ejecución de código en Spring Core sugiere que su impacto puede no ser severo. «[C]La información actual sugiere que para explotar la vulnerabilidad, los atacantes tendrán que ubicar e identificar instancias de aplicaciones web que realmente usen DeserializationUtils, algo que los desarrolladores ya saben que es peligroso», dijo Flashpoint. dijo en un análisis independiente.

A pesar de la disponibilidad pública de las vulnerabilidades de PoC, «actualmente no está claro qué aplicaciones del mundo real utilizan la funcionalidad vulnerable», Rapid7 explicado. «La configuración y la versión de JRE también pueden ser factores significativos en la explotabilidad y la probabilidad de una explotación generalizada».

El Centro de Análisis e Intercambio de Información de Retail y Hotelería (ISAC) también emitió una declaración que investigó y confirmó la «validez» de la PoC para la falla de RCE, y agregó que está «continuando las pruebas para confirmar la validez de la PoC».

«El exploit Spring4Shell en la naturaleza parece funcionar contra el código de muestra de ‘Manejo de envío de formulario’ de stock de spring.io», dijo el analista de vulnerabilidades de CERT/CC, Will Dormann. dijo en un tuit. «Si el código de muestra es vulnerable, entonces sospecho que existen aplicaciones del mundo real que son vulnerables a RCE».

David
Rate author
Hackarizona