Não forget about Spring4Shell. Mas ainda não há sinal de que é generalizado

Patches já estão disponíveis para o Spring4Shell vulnerabilidade, e as equipes de segurança continuam avaliando o potencial da falha de execução remota de código (RCE) afetar os aplicativos. Mas no momento em que este artigo foi escrito, continua a haver poucas evidências de risco generalizado da vulnerabilidade do Spring Core recentemente divulgada.

As organizações são incentivadas a avaliar a situação por si mesmas para determinar seu próprio nível de exposição ao risco, de acordo com profissionais de segurança, incluindo Chris Partridge, que compilou detalhes sobre a vulnerabilidade Spring4Shell no GitHub.

No entanto, “até agora ninguém encontrou evidências de que isso seja generalizado”, disse Partridge no Página do GitHub. “Esta é uma vulnerabilidade grave, com certeza, mas afeta apenas o uso não padrão do Spring Core sem viabilidade generalizada comprovada. Não é categoricamente log4shell-Como.”

Em uma mensagem para VentureBeat, Partridge disse que “é ótimo que a Spring esteja levando essa correção a sério. Espero que nenhum desvio seja encontrado.”

Spring é um framework standard usado no desenvolvimento de aplicações internet Java.

Correções disponíveis

Na quinta-feira, a Primavera publicou um postagem do weblog com detalhes sobre patches e requisitos de exploração para Spring4Shell. A vulnerabilidade RCE, que está sendo rastreada no CVE-2022-22965, afeta o JDK 9 ou awesome e possui vários requisitos adicionais para que seja explorado, diz a postagem do weblog da Spring.

Entre outras coisas, a postagem do weblog confirma que a vulnerabilidade do Spring4Shell não é o Log4Shell 2.0, disse Ian McShane, vice-presidente de estratégia da Arctic Wolf.

“É um RCE, então é um risco de alta prioridade. Mas o fato de precisar de uma implementação não padrão deve limitar o escopo, especialmente em comparação com o Log4shell”, disse McShane em um electronic mail.

O tool de log Apache Log4j — que foi impactado pela vulnerabilidade Log4Shell divulgada em dezembro — foi incorporado em inúmeros aplicativos e serviços e technology vulnerável por padrão, observou ele.

Spring4Shell, por outro lado, “não parece ser um risco comparável. Mas isso não significa que as organizações podem ignorá-lo”, disse McShane. “Como acontece com todas as vulnerabilidades de aplicativos, especialmente aquelas voltadas para a Web por design, você precisa descobrir se está em risco antes de descontá-lo.”

Com as informações disponíveis agora, fica claro que Spring4Shell – apesar do nome semelhante ao Log4Shell – “definitivamente não é tão grande”, disse Satnam Narang, engenheiro de pesquisa da Tenable.

“Dito isso, ainda estamos nas fases iniciais de descobrir quais aplicativos podem ser vulneráveis, e estamos baseando isso no que é conhecido”, disse Narang em um electronic mail. “Ainda existem alguns pontos de interrogação se existem outras maneiras de explorar essa falha.”

Imagem mais precisa

Se alguma coisa, porém, a postagem no weblog da Spring apenas reduz a gama de instâncias vulneráveis, disse Mike Parkin, engenheiro técnico sênior da Vulcan Cyber.

E ao esclarecer as condições exploráveis, a atualização fornece à comunidade de segurança uma imagem mais precisa do risco potencial, disse Parkin.

“No entanto, os invasores podem encontrar maneiras criativas de aproveitar essa vulnerabilidade além do alcance do alvo identificado”, disse ele em um electronic mail. No momento, porém, não há relatos de que a vulnerabilidade esteja sendo explorada na natureza, observou Parkin.

John Bambenek, foremost caçador de ameaças da Netenrich, concordou que a vulnerabilidade parece afetar menos máquinas em comparação com o Log4Shell.

Existem alguns ambientes específicos aos quais o Spring4Shell pode se aplicar, “mas o caso mais perigoso de máquinas incorporadas ou fornecidas por fornecedores é menos provável de ver essa vulnerabilidade”, disse Bambenek.

Ainda são necessárias mais informações

Em uma atualização de seu weblog publicar sobre a vulnerabilidade RCE, a Flashpoint e sua unidade de segurança baseada em risco disseram que, como o Spring Core é uma biblioteca, “a metodologia de exploração provavelmente mudará de usuário para usuário”.

“Mais informações são necessárias para avaliar quantos dispositivos são executados nas configurações necessárias”, diz o put up atualizado do weblog Flashpoint.

Colin Cowie, analista de ameaças da Sophos, e o analista de vulnerabilidade Will Dormann publicaram separadamente confirmações Quarta-feira, mostrando que eles conseguiram obter um exploit para a vulnerabilidade Spring4Shell para trabalhar com o código de amostra fornecido pelo Spring.

“Se o código de exemplo for vulnerável, suspeito que de fato existam aplicativos do mundo actual que sejam vulneráveis ​​ao RCE”, disse Dormann em um comunicado. tuitar.

Ainda assim, no momento da redação deste artigo, não está claro quais aplicativos específicos podem ser vulneráveis.

A conclusão é que o Spring4Shell é “definitivamente motivo de preocupação – mas parece ser um pouco mais difícil de explorar com sucesso do que o Log4j”, disse Casey Ellis, fundador e CTO da Bugcrowd, em um electronic mail.

De qualquer forma, dado o grande quantity de pesquisas e discussões em torno do Sping4Shell, os defensores seriam aconselhados a mitigar – e/ou corrigir – o mais rápido possível, disse Ellis.

Também é provável que novos sabores dessa vulnerabilidade possam surgir em um futuro próximo, disse Yaniv Balmas, vice-presidente de pesquisa da Salt Safety. “Isso pode afetar outros servidores e plataformas da Internet e ampliar o alcance e o impacto potencial dessa vulnerabilidade”, disse Balmas em um electronic mail.