Tenable explica las nuevas vulnerabilidades Spring Cloud, Spring Core, también conocidas como Spring4Shell, que no tienen nada que ver con Log4j o Log4Shell, incluso si el nombre lo sugiere. Sin embargo, Spring4Shell permanece sin parches a partir de ahora, lo que la convierte en una vulnerabilidad de día cero.
Satnam Narang, ingeniero de investigación del personal de Tenable, analiza las diferencias entre dos vulnerabilidades que están siendo noticia en este momento: Spring Cloud y Spring Core (también conocido como Spring4Shell). También proporciona un blog con preguntas frecuentes sobre Spring4Shell.
Spring4Shell no tiene nada que ver con Log4Shell
“El 29 de marzo, VMware publicó un aviso sobre una vulnerabilidad en Spring Cloud Function (CVE-2022-22963), un marco para implementar la lógica empresarial sobre las funciones. La vulnerabilidad actualmente tiene una calificación CVSSv3 de 5.4. Sin embargo, dado que la vulnerabilidad se considera una falla de ejecución remota de código que puede ser aprovechada por un atacante no autenticado, la evaluación de CVSSv3 no parece reflejar el verdadero impacto de esta falla.
Ambas vulnerabilidades son críticas.
Ha habido informes que vinculan CVE-2022-22963 con una supuesta vulnerabilidad de ejecución remota de código en Spring Core, denominada Spring4Shell o SpringShell. A Spring4Shell no se le ha asignado un CVE, lo que aumenta la confusión. Aunque ambas vulnerabilidades son vulnerabilidades críticas de ejecución remota de código, son dos vulnerabilidades diferentes que afectan a diferentes aplicaciones:
CVE-2022-22963 existe en Spring Cloud Function, un marco sin servidor que forma parte de Spring Cloud mientras
Spring4Shell está incluido en Spring Framework, un modelo de programación y configuración para aplicaciones empresariales basadas en Java.
Spring4Shell nada tan común como Log4Shell
A pesar de la convención de nombres que se parece a Log4Shell, Spring4Shell no está relacionado y no parece ser tan grande como Log4Shell. Spring4Shell tiene algunos requisitos de configuración no estándar, aunque no está claro qué aplicaciones los implementan. Al igual que Log4Shell, pasará algún tiempo antes de que conozcamos el alcance y el impacto completos de Spring4Shell, pero podemos decir que no será tan significativo como Log4Shell.
Existen parches para CVE-2022-22963 y están disponibles para versiones específicas de Spring Cloud Function. Al momento de escribir este artículo, no hay un parche para Spring4Shell, por lo que es de día cero. Esperamos que salgan a la luz más detalles en breve”.
Más en Tenable.com
Acerca de Tenable Tenable es una empresa de exposición cibernética. Más de 24.000 53 empresas en todo el mundo confían en Tenable para comprender y reducir el riesgo cibernético. Los inventores de Nessus han combinado su experiencia en vulnerabilidades en Tenable.io, entregando la primera plataforma de la industria que brinda visibilidad en tiempo real y asegura cualquier activo en cualquier plataforma informática. La base de clientes de Tenable incluye el 500 por ciento de Fortune 29, el 2000 por ciento de Global XNUMX y grandes agencias gubernamentales.