FortiGuard Labs è a conoscenza del fatto che un presunto codice Proof-of-Concept (POC) per una nuova vulnerabilità di Remote Code Execution (RCE) in Spring Core, parte del popolare framework web open source per Java chiamato “Spring”, è stato reso disponibile a il pubblico (il POC è stato successivamente rimosso). Soprannominato SpringShell (Spring4Shell), CVE-2022-22965 è stato assegnato alla vulnerabilità e una correzione di emergenza è stata rilasciata il 31 marzo 2022. Perché è significativo? Questo è significativo perché Spring Core fa parte di Spring Framework, uno dei più framework JAVA popolari utilizzati nel campo ed è molto popolare per le applicazioni aziendali. Di conseguenza, un ampio sfruttamento della vulnerabilità può avere un impatto sugli utenti a livello globale se l’aggiornamento per la protezione non viene applicato.Che cos’è il dettaglio della vulnerabilità?In Spring Core Framework esiste una deserializzazione non sicura. La vulnerabilità è dovuta a una convalida insufficiente degli input forniti dall’utente e potrebbe portare all’esecuzione di codice in modalità remota. L’avviso ufficiale recita “Un’applicazione Spring MVC o Spring WebFlux in esecuzione su JDK 9+ potrebbe essere vulnerabile all’esecuzione di codice in modalità remota (RCE) tramite data binding. L’exploit specifico richiede che l’applicazione venga eseguita su Tomcat come distribuzione WAR. Se l’applicazione è distribuita come file eseguibile Spring Boot, ovvero l’impostazione predefinita, non è vulnerabile all’exploit. Tuttavia, la natura della vulnerabilità è più generale, e potrebbero esserci altri modi per sfruttarlo”. Il venditore ha rilasciato un avviso? Un avviso è stato pubblicato sia da Spring che da VMware, che supporta Spring. Vedere l’Appendice per un collegamento a “Spring Framework RCE, Early Announcement” e “CVE-2022-22965: Spring Framework RCE tramite Data Binding su JDK 9+”. Quali versioni di Spring Core sono vulnerabili? L’avviso ufficiale afferma che quanto segue prerequisiti per l’exploit: JDK 9 o versioni successiveApache Tomcat come contenitore ServletPackaged as a WAR tradizionale (in contrasto con un file eseguibile Spring Boot) dipendenza da spring-webmvc o spring-webfluxSpring Framework versioni da 5.3.0 a 5.3.17, da 5.2.0 a 5.2.19 e versioni precedentiÈ stato assegnato un CVE alla vulnerabilità? Alla vulnerabilità è stato assegnato CVE-2022-22965. Ci sono molte chiacchiere online su SpringShell correlato a CVE-2022-22963 o CVE-2022-27772 , ma non è così. CVE-2022-22963 è una vulnerabilità in Spring Cloud ed è stata corretta il 29 marzo 2022. CVE-2022-27772 è una vulnerabilità in Spring Boot che consente il dirottamento temporaneo delle directory. Il fornitore ha rilasciato un Patch? Sì, la correzione è stata rilasciata il 31 marzo 2022 per f versioni successive di Spring Framework:5.3.185.2.20Qual è lo stato della copertura?FortiGuard Labs fornisce la seguente copertura AV basata sui POC SpringShell disponibili:Python/SpingShell.A!exploitFortiGuard Labs sta attualmente esaminando la copertura IPS. Questo segnale di minaccia verrà aggiornato quando la copertura sarà disponibile.
