研究者は、人気のある Java フレームワーク Spring に重大な脆弱性 Spring4Shell を発見しました。 Kaspersky の専門家が、その仕組み、危険な理由、身を守る方法を説明します。 そして、すべてが Log4Shell や Log4j とは何の関係もありません。
Javaプラットフォーム「Spring」のオープンソースフレームワークに重大な脆弱性(CVE-2022-22965)が発見されました。 脆弱性に関する詳細は、公式発表と対応するパッチがリリースされる前にすでに公開されていました。
この脆弱性は、多くの Web アプリケーションに深刻な脅威をもたらす可能性があるため、情報セキュリティの専門家の注目を集めました。 誇大宣伝されたゼロデイ Log4Shell 脆弱性に基づいて、新たに発見された脆弱性は Spring4Shell と名付けられました。
すでに流通している Spring4Shell パッチ
VMware Spring フレームワークの開発者は、脆弱なアプリケーションのパッチをすでにリリースしています。 したがって、Spring Framework バージョン 5.3 および 5.2 を使用しているすべての企業は、すぐにバージョン 5.3.18 または 5.2.20 にアップグレードすることをお勧めします。
Spring4Shell とは何ですか? なぜこの脆弱性は危険なのですか?
この脆弱性は「RCE」(リモート コード実行) カテゴリに属し、攻撃者が悪意のあるコードをリモートで実行できるようにします。 CVSS v3.0 評価システムによると、脆弱性の現在の重大度は 9,8/10 であり、Java Development Kit バージョン 9 以降で実行されている Spring MVC および Spring WebFlux アプリケーションに影響を与えます。
研究者は火曜日の夜に発見された脆弱性を VMware に報告しましたが、脆弱性の概念実証は水曜日に GitHub で公開されました。 PoC はすぐに削除されましたが、セキュリティの専門家がそれを認識した後でした。 この程度のエクスプロイトがサイバー犯罪者に気付かれない可能性は非常に低いです。
開発者に人気のSpringフレームワーク
Spring フレームワークは Java 開発者に非常に人気があるため、多くのアプリケーションが脆弱性の影響を受ける可能性があります。 Bleeping Computer の投稿によると、Spring4Shell に脆弱な Java アプリケーションが多数のサーバーの根本原因になる可能性があります。 同じ投稿によると、この脆弱性はすでにサイバー犯罪者によって積極的に悪用されています。
Spring4Shell エクスプロイトの技術的詳細と侵害の兆候 Securelist のブログ投稿で読むことができます. 同じ投稿で、Spring Java Framework の別の重大な脆弱性 (CVE-2022-22963) の詳細も確認できます。
Spring4Shell の脆弱性の悪用
公開時点で唯一知られている Spring4Shell の悪用方法は、いくつかの要因の組み合わせを必要とします。 エクスプロイトを成功させるには、攻撃側で次のコンポーネントを使用する必要があります。
- Java Development Kit バージョン 9 以降。
- サーブレット コンテナーとしての Apache Tomcat。
- ファイル形式は、標準の JAR ではなく WAR (Web Application Resource) です。
- spring-webmvc または spring-webflux の依存関係。
- Spring Framework バージョン 5.3.0 から 5.3.17、5.2.0 から 5.2.19、またはそれ以前。
ただし、これまで知られていなかった他のエクスプロイトがあり、脆弱性が他の方法で悪用される可能性は十分にあります。
Spring4Shell から身を守る方法
- Spring フレームワークを使用しているすべての人への一番のアドバイスは、安全な 5.3.18 または 5.2.20 バージョンにアップグレードすることです。
- Apache Software Foundation は、Apache Tomcat 10.0.20、9.0.62、および 8.5.78 のパッチを適用したバージョンもリリースしました。
- また、Spring 開発者は、パッチが適用された Spring Framework バージョン 2.5.12 に依存する、Spring Boot 2.6.6 および 5.3.18 拡張機能のパッチが適用されたバージョンをリリースしました。
何らかの理由で上記のソフトウェアを更新できない場合は、 Spring の公式 Web サイトのトラブルシューティングに従う必要があります。.
攻撃が成功するリスクを最小限に抑えるために、インターネットに接続されているすべてのサーバーとその他すべてのコンピューターを、信頼できるセキュリティ ソリューションで保護することをお勧めします。 すでに Kaspersky セキュリティ ソリューションを使用している場合は、Advanced Exploit Prevention および Network Attack Blocker モジュールが有効になっていることを確認してください。
詳細は Kaspersky.com をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。