Los investigadores y analistas de seguridad han estado estudiando detenidamente una vulnerabilidad de día cero de ejecución remota de código (RCE) recientemente descubierta en Spring Framework, que algunos comparan en gravedad con Log4Shell.
Como era de esperar, se denomina Spring4Shell o SpringShell en algunos círculos y elude una vulnerabilidad previamente conocida registrada como CVE-2010-1622. Afecta a cualquier aplicación basada en el elemento de registro de Spring Core y a cualquiera que use software basado en Spring, un marco ampliamente utilizado comparable en tamaño a Apache Struts.
La vulnerabilidad requiere el uso de Java Development Kit (JDK) 9 o posterior para explotar y, si se explota, finalmente permite que un actor no autenticado ejecute código arbitrario en el sistema de destino.
Según Anthony Weems y Dallas Kaman de Praetorian, quienes estuvieron entre los primeros en confirmar la validez de la vulnerabilidad, la explotación es comparativamente trivial, «ya que en algunas configuraciones solo es necesario que un atacante envíe una solicitud HTTP manipulada a un sistema vulnerable». . La explotación de diferentes configuraciones requiere que el atacante realice una investigación adicional para encontrar cargas útiles efectivas, agregaron.
No hay parche y rápidamente se puso a disposición un exploit de prueba de concepto público, por lo que es seguro asumir que Spring4Shell se utilizará para ataques en breve y probablemente ya se haya utilizado. El equipo de Praetorian ha emitido un control de daños temporal, consulte el Aviso de divulgación de Weems y Kaman para obtener más detalles.
Brian Fox, CTO de Sonatype, cuyo equipo también ha estado investigando Spring4Shell durante las últimas 24 horas, dijo que las comparaciones con Log4Shell son comprensibles, pero que la vulnerabilidad en última instancia podría resultar menos efectiva.
«La nueva vulnerabilidad parece permitir RCE no autenticado, pero al mismo tiempo tiene mitigaciones y actualmente no está al nivel de impacto de Log4j», dijo Fox a Computer Weekly en comentarios enviados por correo electrónico.
“Sin embargo, continuamos investigando esto para determinar qué resultará. Podemos entender que la reciente tienda Log4shell es una preocupación legítima en la industria, ya que Spring es uno de los marcos de software más populares que existen. Independientemente, esta debería ser otra razón para que cualquier organización haga un balance de cómo administra sus componentes de terceros”.
Jeff Costlow, CISO de ExtraHop, agregó: “Cuando salen a la luz exploits de día cero como Spring4Shell, las empresas entran en pánico de inmediato y tratan de determinar el radio de explosión potencial de la vulnerabilidad.
“Los equipos de seguridad deben comprender de inmediato qué software y dispositivos podrían verse afectados y determinar si hay algún dispositivo vulnerable en su entorno. Esto puede ser un desafío notable ya que muchas organizaciones luchan por mantener un inventario actualizado de los dispositivos en su entorno, y mucho menos tener la capacidad de identificar los tipos y versiones de software que se ejecutan en sus dispositivos comerciales”.
Al mismo tiempo, ha surgido confusión sobre una vulnerabilidad separada informada como CVE-2022-22963, una vulnerabilidad RCE en Spring Cloud Function de VMware, aunque algunos han fusionado las dos.
Según VMware, CVE-2022-22963 afecta a las versiones 3.1.6 y 3.2.2, así como a versiones anteriores no compatibles de Spring Cloud Function. Permite que un actor malicioso proporcione un Spring Expression Language (SpEL) especialmente diseñado como una expresión de enrutamiento cuando usa la función de enrutamiento, lo que le permite obtener acceso a los recursos locales. Las versiones 3.1.7 y 3.2.3 solucionan el problema, por lo que los usuarios deben actualizar lo antes posible.
Travis Biehn, asesor principal de seguridad de Synopsys, dijo que la confusión y la fusión de las dos vulnerabilidades plantearon preguntas más amplias sobre cómo se realizan y propagan las divulgaciones dentro de la comunidad cibernética en línea.
Sugirió que la calificación de gravedad que VMware aplicó a CVE-2022-22963 podría subestimar su impacto potencial, mientras que el hecho de que muchas voces influyentes en la comunidad «inicialmente se burlaron de Spring4Shell como una noticia falsa o un simple malentendido» puso a los defensores en seis. Siete.
«CVE-2022-22963 es lo que sucede cuando se sigue la divulgación responsable: un proveedor puede minimizar la importancia de una vulnerabilidad, lo que hace que sea más difícil actuar», dijo Biehn. «Spring4Shell es lo que sucede cuando no se siguen los procesos de divulgación responsable: la falta de información creíble instantánea y completamente examinada en un mar de personalidades fuertes hace que un trabajo ya de por sí arduo parezca imposible».