Les chercheurs ont découvert la vulnérabilité critique Spring4Shell dans le populaire framework Java Spring. Les experts de Kaspersky expliquent comment cela fonctionne, pourquoi c'est si dangereux et comment vous protéger. Et : que tout cela n'a rien à voir avec Log4Shell ou Log4j.
Des chercheurs ont découvert une vulnérabilité critique (CVE-2022-22965) dans le framework open source de la plateforme Java "Spring". Des détails sur la vulnérabilité ont déjà été divulgués au public avant l'annonce officielle et les correctifs correspondants ont été publiés.
La vulnérabilité a immédiatement attiré l'attention des spécialistes de la sécurité de l'information car elle constitue potentiellement une menace sérieuse pour de nombreuses applications Web. Basée sur la fameuse vulnérabilité Zero-Day Log4Shell, la vulnérabilité nouvellement découverte a été nommée Spring4Shell.
Patchs Spring4Shell déjà en circulation
Les développeurs du framework VMware Spring ont déjà publié des correctifs pour les applications vulnérables. Nous recommandons donc à toutes les entreprises utilisant les versions 5.3 et 5.2 de Spring Framework de passer immédiatement aux versions 5.3.18 ou 5.2.20.
Qu'est-ce que Spring4Shell et pourquoi la vulnérabilité est-elle si dangereuse ?
La vulnérabilité appartient à la catégorie "RCE" (Remote Code Execution) et permet aux attaquants d'exécuter du code malveillant à distance. Selon le système de notation CVSS v3.0, la vulnérabilité a actuellement une gravité de 9,8/10 et affecte les applications Spring MVC et Spring WebFlux exécutées sur Java Development Kit version 9 ou supérieure.
Les chercheurs ont signalé la vulnérabilité découverte à VMware mardi soir, mais une preuve de concept de la vulnérabilité a été publiée sur GitHub mercredi. Le PoC a été rapidement supprimé, mais seulement après que les experts en sécurité en ont pris connaissance. Il est hautement improbable qu'un exploit de ce calibre soit passé inaperçu des cybercriminels.
Framework Spring populaire auprès des développeurs
Le framework Spring est très populaire auprès des développeurs Java, ce qui signifie que de nombreuses applications pourraient potentiellement être affectées par la vulnérabilité. Selon un article de Bleeping Computer, les applications Java vulnérables à Spring4Shell pourraient devenir la cause première d'un grand nombre de serveurs. Selon le même article, la vulnérabilité est déjà activement exploitée par les cybercriminels.
Plus de détails techniques et d'indicateurs de compromis pour les exploits Spring4Shell peut être lu dans notre article de blog sur Securelist. Dans le même article, vous pouvez également trouver des détails sur une autre vulnérabilité critique dans Spring Java Framework (CVE-2022-22963).
Exploitation de la vulnérabilité Spring4Shell
La seule méthode d'exploit Spring4Shell connue au moment de la publication nécessite une combinaison de plusieurs facteurs. Pour un exploit réussi, les composants suivants devraient être utilisés du côté attaqué :
- Java Development Kit version 9 ou plus récente ;
- Apache Tomcat en tant que conteneur de servlets ;
- Format de fichier WAR (Web Application Resource) au lieu du JAR standard ;
- dépendances spring-webmvc ou spring-webflux ;
- Spring Framework versions 5.3.0 à 5.3.17, 5.2.0 à 5.2.19 ou antérieures.
Cependant, il est tout à fait possible qu'il existe d'autres exploits jusque-là inconnus et que la vulnérabilité puisse être exploitée d'autres manières.
Comment se protéger de Spring4Shell
- Le conseil numéro un pour toute personne utilisant le framework Spring est de passer aux versions sécurisées 5.3.18 ou 5.2.20.
- L'Apache Software Foundation a également publié des versions corrigées d'Apache Tomcat 10.0.20, 9.0.62 et 8.5.78.
- De plus, les développeurs Spring ont publié des versions corrigées des extensions Spring Boot 2.5.12 et 2.6.6 qui dépendent de la version 5.3.18 corrigée de Spring Framework.
Si vous ne parvenez pas à mettre à jour le logiciel ci-dessus pour une raison quelconque, vous devriez suivre le dépannage sur le site officiel de Spring.
Pour minimiser le risque d'une attaque réussie, nous vous recommandons de protéger tous les serveurs et tous les autres ordinateurs connectés à Internet avec une solution de sécurité fiable. Si vous utilisez déjà une solution de sécurité Kaspersky, assurez-vous que les modules Advanced Exploit Prevention et Network Attack Blocker sont activés.
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/