Tenable spiega le nuove vulnerabilità Spring Cloud, Spring Core - noto anche come Spring4Shell - che non hanno nulla a che fare con Log4j o Log4Shell, anche se il nome lo suggerisce. Tuttavia, Spring4Shell rimane senza patch al momento, rendendolo una vulnerabilità zero-day.
Satnam Narang, Staff Research Engineer, Tenable, discute le differenze tra due vulnerabilità che stanno facendo notizia in questo momento: Spring Cloud e Spring Core (alias Spring4Shell). Fornisce anche un blog con domande frequenti su Spring4Shell.
Spring4Shell non ha nulla a che fare con Log4Shell
“Il 29 marzo, VMware ha rilasciato un avviso per una vulnerabilità in Spring Cloud Function (CVE-2022-22963), un framework per l'implementazione della logica aziendale sulle funzioni. La vulnerabilità ha attualmente un rating CVSSv3 di 5.4. Tuttavia, poiché la vulnerabilità è considerata un difetto di esecuzione di codice in modalità remota che può essere sfruttato da un utente malintenzionato non autenticato, la valutazione CVSSv3 non sembra riflettere il vero impatto di questo difetto.
Entrambe le vulnerabilità sono critiche
Ci sono state segnalazioni che collegano CVE-2022-22963 a una presunta vulnerabilità di esecuzione di codice remoto separata in Spring Core, soprannominata Spring4Shell o SpringShell. A Spring4Shell non è stato assegnato un CVE, aumentando la confusione. Sebbene entrambe le vulnerabilità siano vulnerabilità critiche legate all'esecuzione di codice in modalità remota, si tratta di due diverse vulnerabilità che interessano applicazioni diverse:
CVE-2022-22963 esiste in Spring Cloud Function, un framework serverless che fa parte di Spring Cloud mentre
Spring4Shell è incluso in Spring Framework, un modello di programmazione e configurazione per applicazioni aziendali basate su Java.
Spring4Shell niente di così comune come Log4Shell
Nonostante la convenzione di denominazione che somiglia a Log4Shell, Spring4Shell non è correlato e non sembra essere grande come Log4Shell. Spring4Shell ha alcuni requisiti di configurazione non standard, sebbene non sia chiaro quali applicazioni li implementino. Proprio come Log4Shell, ci vorrà del tempo prima di conoscere l'intero ambito e l'impatto di Spring4Shell, ma possiamo dire che non sarà così significativo come Log4Shell.
Esistono patch per CVE-2022-22963 e sono disponibili per versioni specifiche di Spring Cloud Function. Al momento della stesura di questo articolo, non esiste alcuna patch per Spring4Shell, rendendolo zero-day. Ci aspettiamo che ulteriori dettagli vengano alla luce a breve”.
Altro su Tenable.com
A proposito di Tenable Tenable è una società di esposizione informatica. Oltre 24.000 aziende in tutto il mondo si affidano a Tenable per comprendere e ridurre il rischio informatico. Gli inventori di Nessus hanno unito la loro esperienza in materia di vulnerabilità in Tenable.io, offrendo la prima piattaforma del settore che fornisce visibilità in tempo reale e protegge qualsiasi risorsa su qualsiasi piattaforma informatica. La base di clienti di Tenable comprende il 53% di Fortune 500, il 29% di Global 2000 e grandi agenzie governative.