Af Eskil Sørensen, 31/03/22
Der er fundet en 0-dagssårbarhed i Java Web application udviklingsværktøjet Spring, som sandsynligvis udsætter en række webapps for en risiko ift. remote code execution-angreb. Det skriver en række medier.
Sårbarheden er blevet navngivet Spring4Shell og SpringShell, og ifølge Dark Reading har den forårsaget en del forvirring i løbet af de sidste 24 timer, da researchere har været i tvivl, om der var tale om et nyt problem, eller om den var relateret til ældre sårbarheder. Imidlertid har to cybersikkerhedsfirmaer Praetorian og Flashpoint uafhængig af hinanden bekræftet, at der kan ske ekstern udnyttelse af en ny sårbarhed, hvis en Spring-applikation installeres på en Apache Tomcat-server ved hjælp af en fælles konfiguration.
Spring4Shell har endnu ikke fået et CVE-nummer, men det forventes, at MITRE (der tildeler id-numre til sårbarheder) hurtigt vil analysere sårbarheden i kraft af den opmærksomhed, den har fået.
Ifølge teknologichef for Praetorian sandsynligvis kræve bred patching for at sikre, at installationer ikke er sårbare over for kompromittering udefra. Spring, der ejes og administreres af VMware, arbejder ifølge Dark Reading på en opdatering. Trusselsaktører kommunikerer angiveligt ikke om sårbarheden, hvilket kan være et tegn på, at der ikke er et proof-of-concept exploit ude (endnu).
Ifølge Praetorian synes Spring framework-sårbarheden ikke at være nær så kritisk som de problemer, der blev fundet i Log4j. Angriberne skal kende adressen, inklusive applikationens endpoint, for at kunne udnytte sårbarheden. Desuden er applikationer, der ikke er udsat for internettet, sikre, i modsætning til nogle tilfælde med Log4j.
Links:
https://www.riskbasedsecurity.com/2022/03/30/springshell-vulnerability/
https://www.riskbasedsecurity.com/2022/03/30/springshell-vulnerability/