SK-CERT Bezpečnostné varovanie V20220331-01

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.8

Identifikátor

Spring Core a Cloud Function – zero day kritická bezpečnostná zraniteľnosť ‚Spring4Shell‘

Popis

Bezpečnostní výskumníci zverejnili informácie o zero day kritickej bezpečnostnej zraniteľnosti frameworku Spring. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej HTTP požiadavky, vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Na uvedenú zraniteľnosť je v súčasnosti voľne dostupný Proof-of-Concept kód.

Dátum prvého zverejnenia varovania

30.03.2022

CVE

CVE-2022-22950, CVE-2022-22963

IOC

–

Zasiahnuté systémy

Spring Framework vo verzii 4.3.0 až 5.3.15 (vrátane) Spring Cloud Function vo verzii staršej ako 3.1.7 Spring Cloud Function vo verzii staršej ako 3.2.3

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Nakoľko vývojári frameworku Spring ešte nevydali aktualizáciu pre zraniteľnosť Spring4Shell, administrátorom odporúčame sledovať stránku https://spring.io/ a po vydaní bezpečnostných záplat vykonať aktualizáciu zasiahnutých systémov. Pre dočasnú mitigáciu odporúčame na WAF, implementovať filtrovacích pravidiel pre reťazce ako „class.*“, „Class.*“, „*.class.*“ a „*.Class.*“. Detailný postup pre dočasnú mitigáciu je popísaný na webovej adrese: https://www.cyberkendra.com/2022/03/spring4shell-details-and-exploit-code.html V prípade Spring Cloud Function administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Odporúčame uistiť sa, či Vaše aplikácie nevyužívajú frameworky, knižnice, pluginy, SDK alebo moduly v zraniteľnej verzii. V prípade, že áno, zabezpečte aktualizáciu všetkých komponentov, od ktorých závisí vaša aplikácia, na aktuálne verzie bez známych bezpečnostných zraniteľností. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://www.cyberkendra.com/2022/03/spring4shell-details-and-exploit-code.html https://www.cyberkendra.com/2022/03/rce-0-day-exploit-found-in-spring-cloud.html https://bugalert.org/content/notices/2022-03-29-spring.html https://github.com/chaosec2021/Spring-cloud-function-SpEL-RCE https://tanzu.vmware.com/security/cve-2022-22963

« Späť na zoznam