Spring4Shell: Vulnerabilidad crítica en el framework Java Spring

18 Abril 2022
| No hay comentarios
Spring4Shell: Vulnerabilidad crítica en el framework Java Spring

Compartir publicación

Los investigadores han descubierto la vulnerabilidad crítica Spring4Shell en el popular framework Java Spring. Los expertos de Kaspersky explican cómo funciona, por qué es tan peligroso y cómo protegerse. Y: que todo esto no tiene nada que ver con Log4Shell o Log4j.

Los investigadores han descubierto una vulnerabilidad crítica (CVE-2022-22965) en el marco de código abierto de la plataforma Java "Spring". Los detalles sobre la vulnerabilidad ya se filtraron al público antes del anuncio oficial y se lanzaron los parches correspondientes.

La vulnerabilidad llamó inmediatamente la atención de los especialistas en seguridad de la información, ya que potencialmente representa una seria amenaza para muchas aplicaciones web. Basado en la publicitada vulnerabilidad Log4Shell de día cero, la vulnerabilidad recién descubierta se denominó Spring4Shell.

Parches Spring4Shell ya en circulación

Los desarrolladores del marco VMware Spring ya han lanzado parches para aplicaciones vulnerables. Por lo tanto, recomendamos que todas las empresas que utilicen Spring Framework versiones 5.3 y 5.2 actualicen a las versiones 5.3.18 o 5.2.20 inmediatamente.

¿Qué es Spring4Shell y por qué la vulnerabilidad es tan peligrosa?

La vulnerabilidad pertenece a la categoría "RCE" (Ejecución remota de código) y permite a los atacantes ejecutar código malicioso de forma remota. Según el sistema de calificación CVSS v3.0, la vulnerabilidad actualmente tiene una gravedad de 9,8/10 y afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en Java Development Kit versión 9 o superior.

Los investigadores informaron la vulnerabilidad descubierta a VMware el martes por la noche, pero el miércoles se publicó una prueba de concepto de la vulnerabilidad en GitHub. El PoC se eliminó rápidamente, pero solo después de que los expertos en seguridad se dieran cuenta de ello. Es muy poco probable que un exploit de este calibre haya pasado desapercibido para los ciberdelincuentes.

Spring framework popular entre los desarrolladores

Spring Framework es muy popular entre los desarrolladores de Java, lo que significa que potencialmente muchas aplicaciones podrían verse afectadas por la vulnerabilidad. Según una publicación de Bleeping Computer, las aplicaciones Java vulnerables a Spring4Shell podrían convertirse en la causa raíz de una gran cantidad de servidores. Según la misma publicación, los ciberdelincuentes ya están explotando activamente la vulnerabilidad.

Más detalles técnicos e indicadores de compromiso para los exploits Spring4Shell se puede leer en nuestra publicación de blog en Securelist. En la misma publicación también puede encontrar detalles sobre otra vulnerabilidad crítica en Spring Java Framework (CVE-2022-22963).

Explotando la vulnerabilidad Spring4Shell

El único método de explotación de Spring4Shell conocido en el momento de la publicación requiere una combinación de varios factores. Para una explotación exitosa, los siguientes componentes deberían usarse en el lado atacado:

  • Java Development Kit versión 9 o posterior;
  • Apache Tomcat como contenedor de servlets;
  • Formato de archivo WAR (recurso de aplicación web) en lugar del JAR estándar;
  • dependencias spring-webmvc o spring-webflux;
  • Spring Framework versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 o anteriores.

Sin embargo, es muy posible que existan otros exploits previamente desconocidos y que la vulnerabilidad se pueda explotar de otras formas.

Cómo protegerse de Spring4Shell

  • El consejo número uno para cualquiera que use Spring Framework es actualizar a las versiones seguras 5.3.18 o 5.2.20.
  • Apache Software Foundation también ha lanzado versiones parcheadas de Apache Tomcat 10.0.20, 9.0.62 y 8.5.78.
  • Además, los desarrolladores de Spring han lanzado versiones parcheadas de las extensiones Spring Boot 2.5.12 y 2.6.6 que dependen de la versión 5.3.18 parcheada de Spring Framework.

Si no puede actualizar el software anterior por algún motivo, debe seguir la solución de problemas en el sitio web oficial de Spring.

Para minimizar el riesgo de un ataque exitoso, le recomendamos que proteja todos los servidores y todas las demás computadoras conectadas a Internet con una solución de seguridad confiable. Si ya está utilizando una solución de seguridad de Kaspersky, asegúrese de que los módulos Prevención avanzada de exploits y Bloqueador de ataques de red estén habilitados.

Más en Kaspersky.com

 

Acerca de Kaspersky

Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

Kaspersky, Noticias de prensa