A Tenable explica as novas vulnerabilidades Spring Cloud, Spring Core - também conhecidas como Spring4Shell - que nada têm a ver com Log4j ou Log4Shell, mesmo que o nome sugira. No entanto, o Spring4Shell permanece sem correção até o momento, tornando-o uma vulnerabilidade de dia zero.
Satnam Narang, engenheiro de pesquisa de equipe da Tenable, discute as diferenças entre duas vulnerabilidades que estão se tornando notícia no momento - Spring Cloud e Spring Core (também conhecido como Spring4Shell). Ele também fornece um blog com FAQ sobre Spring4Shell.
Spring4Shell não tem nada a ver com Log4Shell
“Em 29 de março, a VMware lançou um comunicado para uma vulnerabilidade no Spring Cloud Function (CVE-2022-22963), uma estrutura para implementar lógica de negócios sobre funções. Atualmente, a vulnerabilidade tem uma classificação CVSSv3 de 5.4. No entanto, como a vulnerabilidade é considerada uma falha de execução remota de código que pode ser explorada por um invasor não autenticado, a avaliação do CVSSv3 não parece refletir o verdadeiro impacto dessa falha.
Ambas as vulnerabilidades são críticas
Houve relatos ligando o CVE-2022-22963 a uma alegada vulnerabilidade separada de execução remota de código no Spring Core, apelidada de Spring4Shell ou SpringShell. O Spring4Shell não recebeu um CVE, aumentando a confusão. Embora ambas as vulnerabilidades sejam vulnerabilidades críticas de execução remota de código, elas são duas vulnerabilidades diferentes que afetam diferentes aplicativos:
CVE-2022-22963 existe no Spring Cloud Function, uma estrutura sem servidor que faz parte do Spring Cloud enquanto
O Spring4Shell está incluído no Spring Framework, um modelo de programação e configuração para aplicativos corporativos baseados em Java.
Spring4Shell nada tão comum quanto Log4Shell
Apesar da convenção de nomenclatura que tem uma semelhança com Log4Shell, Spring4Shell não é relacionado e não parece ser tão grande quanto Log4Shell. O Spring4Shell possui alguns requisitos de configuração não padrão, embora não esteja claro quais aplicativos os implementam. Assim como o Log4Shell, levará algum tempo até conhecermos todo o escopo e impacto do Spring4Shell, mas podemos dizer que não será tão significativo quanto o Log4Shell.
Existem patches para CVE-2022-22963 e estão disponíveis para versões específicas do Spring Cloud Function. No momento da redação deste artigo, não há patch para Spring4Shell, tornando-o dia zero. Esperamos que mais detalhes venham à tona em breve”.
Mais em Tenable.com
Sobre a Tenable A Tenable é uma empresa de Cyber Exposure. Mais de 24.000 empresas em todo o mundo confiam na Tenable para entender e reduzir o risco cibernético. Os inventores do Nessus combinaram sua experiência em vulnerabilidade no Tenable.io, oferecendo a primeira plataforma do setor que fornece visibilidade em tempo real e protege qualquer ativo em qualquer plataforma de computação. A base de clientes da Tenable inclui 53% da Fortune 500, 29% da Global 2000 e grandes agências governamentais.