I ricercatori hanno scoperto la vulnerabilità critica Spring4Shell nel popolare framework Java Spring. Gli esperti di Kaspersky spiegano come funziona, perché è così pericoloso e come proteggersi. E: che l'intera faccenda non ha nulla a che fare con Log4Shell o Log4j.
I ricercatori hanno scoperto una vulnerabilità critica (CVE-2022-22965) nel framework open source della piattaforma Java "Spring". I dettagli sulla vulnerabilità erano già trapelati al pubblico prima dell'annuncio ufficiale e del rilascio delle patch corrispondenti.
La vulnerabilità ha immediatamente attirato l'attenzione degli specialisti della sicurezza delle informazioni in quanto rappresenta potenzialmente una seria minaccia per molte applicazioni web. Sulla base della pubblicizzata vulnerabilità Log4Shell zero-day, la vulnerabilità appena scoperta è stata denominata Spring4Shell.
Patch Spring4Shell già in circolazione
Gli sviluppatori del framework VMware Spring hanno già rilasciato patch per le applicazioni vulnerabili. Consigliamo pertanto a tutte le aziende che utilizzano Spring Framework versioni 5.3 e 5.2 di eseguire immediatamente l'aggiornamento alle versioni 5.3.18 o 5.2.20.
Cos'è Spring4Shell e perché la vulnerabilità è così pericolosa?
La vulnerabilità appartiene alla categoria "RCE" (Remote Code Execution) e consente agli aggressori di eseguire codice dannoso da remoto. Secondo il sistema di classificazione CVSS v3.0, la vulnerabilità ha attualmente una gravità 9,8/10 e interessa le applicazioni Spring MVC e Spring WebFlux in esecuzione su Java Development Kit versione 9 o successiva.
I ricercatori hanno segnalato la vulnerabilità scoperta a VMware martedì notte, ma mercoledì su GitHub è stata pubblicata una prova di concetto della vulnerabilità. Il PoC è stato rapidamente rimosso, ma solo dopo che gli esperti di sicurezza ne sono venuti a conoscenza. È altamente improbabile che un exploit di questo calibro sia passato inosservato ai criminali informatici.
Framework di primavera popolare tra gli sviluppatori
Il framework Spring è molto popolare tra gli sviluppatori Java, il che significa che potenzialmente molte applicazioni potrebbero essere interessate dalla vulnerabilità. Secondo un post di Bleeping Computer, le applicazioni Java vulnerabili a Spring4Shell potrebbero diventare la causa principale di un gran numero di server. Secondo lo stesso post, la vulnerabilità è già stata attivamente sfruttata dai criminali informatici.
Maggiori dettagli tecnici e indicatori di compromissione per gli exploit Spring4Shell può essere letto nel nostro post sul blog su Securelist. Nello stesso post puoi anche trovare dettagli su un'altra vulnerabilità critica nello Spring Java Framework (CVE-2022-22963).
Sfruttare la vulnerabilità Spring4Shell
L'unico metodo di exploit Spring4Shell noto al momento della pubblicazione richiede una combinazione di diversi fattori. Per un exploit di successo, i seguenti componenti dovrebbero essere utilizzati dal lato attaccato:
- Java Development Kit versione 9 o successiva;
- Apache Tomcat come contenitore servlet;
- Formato file WAR (Web Application Resource) invece dello standard JAR;
- dipendenze spring-webmvc o spring-webflux;
- Spring Framework versioni da 5.3.0 a 5.3.17, da 5.2.0 a 5.2.19 o precedenti.
Tuttavia, è del tutto possibile che ci siano altri exploit precedentemente sconosciuti e che la vulnerabilità possa essere sfruttata in altri modi.
Come proteggersi da Spring4Shell
- Il consiglio numero uno per chiunque utilizzi il framework Spring è di eseguire l'aggiornamento alle versioni sicure 5.3.18 o 5.2.20.
- La Apache Software Foundation ha anche rilasciato versioni con patch di Apache Tomcat 10.0.20, 9.0.62 e 8.5.78.
- Inoltre, gli sviluppatori di Spring hanno rilasciato versioni con patch delle estensioni Spring Boot 2.5.12 e 2.6.6 che dipendono dalla versione 5.3.18 di Spring Framework con patch.
Se non sei in grado di aggiornare il software di cui sopra per qualsiasi motivo, dovresti seguire la risoluzione dei problemi sul sito Web ufficiale di Spring.
Per ridurre al minimo il rischio di un attacco andato a buon fine, ti consigliamo di proteggere tutti i server e tutti gli altri computer connessi a Internet con una soluzione di sicurezza affidabile. Se stai già utilizzando una soluzione di sicurezza Kaspersky, assicurati che i moduli Advanced Exploit Prevention e Network Attack Blocker siano abilitati.
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/