SK-CERT Bezpečnostné varovanie V20220406-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
 9.8
Identifikátor
Spring Framework – kritická bezpečnostná zraniteľnosť
Popis
Vývojári frameworku Spring vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť. Zraniteľné sú aplikácie využívajúce Spring MVC a WebFlux bežiace na JDK 9+, pričom špecifický exploit vyžaduje, aby aplikácia bežala na servery Tomcat nasadená ako WAR.
Kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej HTTP požiadavky, vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Na uvedenú zraniteľnosť je v súčasnosti voľne dostupný Proof-of-Concept kód.
Dátum prvého zverejnenia varovania
31.03.2022
CVE
CVE-2022-22965
IOC
Zasiahnuté systémy
Spring Framework vo verzii staršej ako 5.3.18
Spring Framework vo verzii staršej ako 5.2.20
Spring Boot vo verzii staršej ako 2.6.6
Spring Boot vo verzii staršej ako 2.5.12
Apache Tomcat vo verzii staršej ako 10.0.20
Apache Tomcat vo verzii staršej ako 9.0.62
Apache Tomcat vo verzii staršej ako 8.5.78
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Odporúčame uistiť sa, či Vaše aplikácie nevyužívajú frameworky, knižnice, pluginy, SDK alebo moduly v zraniteľnej verzii. V prípade, že áno, zabezpečte aktualizáciu všetkých komponentov, od ktorých závisí vaša aplikácia, na aktuálne verzie bez známych bezpečnostných zraniteľností.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://tanzu.vmware.com/security/cve-2022-22965
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-java-spring-rce-Zx9GUc67

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy