Pesquisadores descobriram a vulnerabilidade crítica Spring4Shell no popular framework Java Spring. Os especialistas da Kaspersky explicam como funciona, por que é tão perigoso e como se proteger. E: que a coisa toda não tem nada a ver com Log4Shell ou Log4j.
Pesquisadores descobriram uma vulnerabilidade crítica (CVE-2022-22965) na estrutura de código aberto da plataforma Java "Spring". Detalhes sobre a vulnerabilidade já vazaram para o público antes do anúncio oficial e os patches correspondentes foram lançados.
A vulnerabilidade imediatamente chamou a atenção de especialistas em segurança da informação, pois representa uma séria ameaça para muitos aplicativos da web. Com base na sensacional vulnerabilidade Log4Shell de dia zero, a vulnerabilidade recém-descoberta foi chamada de Spring4Shell.
Patches Spring4Shell já em circulação
Os desenvolvedores da estrutura VMware Spring já lançaram patches para aplicativos vulneráveis. Portanto, recomendamos que todas as empresas que usam o Spring Framework versões 5.3 e 5.2 atualizem para as versões 5.3.18 ou 5.2.20 imediatamente.
O que é Spring4Shell e por que a vulnerabilidade é tão perigosa?
A vulnerabilidade pertence à categoria "RCE" (Remote Code Execution) e permite que invasores executem códigos maliciosos remotamente. De acordo com o sistema de classificação CVSS v3.0, a vulnerabilidade atualmente tem uma gravidade de 9,8/10 e afeta os aplicativos Spring MVC e Spring WebFlux executados no Java Development Kit versão 9 ou superior.
Os pesquisadores relataram a vulnerabilidade descoberta no VMware na noite de terça-feira, mas uma prova de conceito para a vulnerabilidade foi publicada no GitHub na quarta-feira. O PoC foi removido rapidamente, mas somente depois que os especialistas em segurança tomaram conhecimento dele. É altamente improvável que uma exploração desse calibre tenha passado despercebida pelos cibercriminosos.
Spring framework popular entre os desenvolvedores
A estrutura Spring é muito popular entre os desenvolvedores Java, o que significa que muitos aplicativos podem ser afetados pela vulnerabilidade. De acordo com um post da Bleeping Computer, os aplicativos Java vulneráveis ao Spring4Shell podem se tornar a causa raiz de um grande número de servidores. De acordo com o mesmo post, a vulnerabilidade já está sendo explorada ativamente por cibercriminosos.
Mais detalhes técnicos e indicadores de comprometimento para as explorações do Spring4Shell pode ser lido em nosso post de blog no Securelist. Na mesma postagem, você também pode encontrar detalhes sobre outra vulnerabilidade crítica no Spring Java Framework (CVE-2022-22963).
Explorando a vulnerabilidade Spring4Shell
O único método de exploração Spring4Shell conhecido no momento da publicação requer uma combinação de vários fatores. Para uma exploração bem-sucedida, os seguintes componentes precisariam ser usados no lado atacado:
- Java Development Kit versão 9 ou mais recente;
- Apache Tomcat como contêiner de servlet;
- Formato de arquivo WAR (Web Application Resource) em vez do JAR padrão;
- dependências spring-webmvc ou spring-webflux;
- Spring Framework versões 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 ou anteriores.
No entanto, é bem possível que existam outras explorações anteriormente desconhecidas e que a vulnerabilidade possa ser explorada de outras maneiras.
Como se proteger do Spring4Shell
- O conselho número um para qualquer um que usa o framework Spring é atualizar para as versões seguras 5.3.18 ou 5.2.20.
- A Apache Software Foundation também lançou versões corrigidas do Apache Tomcat 10.0.20, 9.0.62 e 8.5.78.
- Além disso, os desenvolvedores do Spring lançaram versões corrigidas das extensões Spring Boot 2.5.12 e 2.6.6 que dependem da versão corrigida do Spring Framework 5.3.18.
Se você não conseguir atualizar o software acima por qualquer motivo, você deve seguir a solução de problemas no site oficial do Spring.
Para minimizar o risco de um ataque bem-sucedido, recomendamos que você proteja todos os servidores e todos os outros computadores conectados à Internet com uma solução de segurança confiável. Se você já estiver usando uma solução de segurança Kaspersky, certifique-se de que os módulos Advanced Exploit Prevention e Network Attack Blocker estejam ativados.
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/