Araştırmacılar, popüler Java çerçevesi Spring'de Spring4Shell kritik güvenlik açığını keşfettiler. Kaspersky uzmanları nasıl çalıştığını, neden bu kadar tehlikeli olduğunu ve kendinizi nasıl koruyacağınızı açıklıyor. Ve: her şeyin Log4Shell veya Log4j ile hiçbir ilgisi olmadığını.
Araştırmacılar, Java platformu "Spring"in açık kaynak çerçevesinde kritik bir güvenlik açığı (CVE-2022-22965) keşfettiler. Güvenlik açığıyla ilgili ayrıntılar, resmi duyuru ve ilgili yamalar yayınlanmadan önce zaten kamuoyuna sızdırılmıştı.
Güvenlik açığı, birçok web uygulaması için potansiyel olarak ciddi bir tehdit oluşturması nedeniyle bilgi güvenliği uzmanlarının hemen dikkatini çekti. Abartılı sıfır günlük Log4Shell güvenlik açığına dayanarak, yeni keşfedilen güvenlik açığına Spring4Shell adı verildi.
Spring4Shell yamaları zaten dolaşımda
VMware Spring çerçevesinin geliştiricileri, güvenlik açığı bulunan uygulamalar için zaten yamalar yayınladı. Bu nedenle, Spring Framework 5.3 ve 5.2 sürümlerini kullanan tüm şirketlerin derhal 5.3.18 veya 5.2.20 sürümlerine yükseltmelerini öneriyoruz.
Spring4Shell nedir ve güvenlik açığı neden bu kadar tehlikeli?
Güvenlik açığı "RCE" (Uzaktan Kod Yürütme) kategorisine aittir ve saldırganların kötü amaçlı kodu uzaktan yürütmesine olanak tanır. CVSS v3.0 derecelendirme sistemine göre güvenlik açığı şu anda 9,8/10 önem derecesine sahip ve Java Development Kit sürüm 9 veya üzerinde çalışan Spring MVC ve Spring WebFlux uygulamalarını etkiliyor.
Araştırmacılar Salı gecesi VMware'de keşfedilen güvenlik açığını bildirdiler, ancak güvenlik açığı için bir kavram kanıtı Çarşamba günü GitHub'da yayınlandı. PoC hızla kaldırıldı, ancak ancak güvenlik uzmanları bunun farkına vardıktan sonra. Bu çapta bir istismarın siber suçlular tarafından fark edilmemesi pek olası değildir.
Geliştiriciler arasında popüler olan bahar çerçevesi
Spring çerçevesi, Java geliştiricileri arasında çok popülerdir; bu, potansiyel olarak birçok uygulamanın güvenlik açığından etkilenebileceği anlamına gelir. Bleeping Computer tarafından yapılan bir gönderiye göre, Spring4Shell'de güvenlik açığı bulunan Java uygulamaları çok sayıda sunucunun ana nedeni olabilir. Aynı gönderiye göre, güvenlik açığı şimdiden siber suçlular tarafından aktif olarak kullanılıyor.
Spring4Shell istismarları için daha fazla teknik ayrıntı ve uzlaşma göstergeleri Securelist'teki blog yazımızda okunabilir. Aynı gönderide, Spring Java Framework'teki (CVE-2022-22963) başka bir kritik güvenlik açığıyla ilgili ayrıntıları da bulabilirsiniz.
Spring4Shell güvenlik açığından yararlanma
Yayın sırasında bilinen tek Spring4Shell istismar yöntemi, birkaç faktörün bir kombinasyonunu gerektirir. Başarılı bir istismar için, saldırı yapılan tarafta aşağıdaki bileşenlerin kullanılması gerekir:
- Java Geliştirme Kiti sürüm 9 veya daha yenisi;
- Sunucu uygulaması kapsayıcısı olarak Apache Tomcat;
- Standart JAR yerine dosya formatı WAR (Web Uygulama Kaynağı);
- spring-webmvc veya spring-webflux bağımlılıkları;
- Spring Framework sürümleri 5.3.0 - 5.3.17, 5.2.0 - 5.2.19 veya daha eski.
Bununla birlikte, daha önce bilinmeyen başka istismarların olması ve güvenlik açığının başka şekillerde kullanılması da oldukça olasıdır.
Kendinizi Spring4Shell'den nasıl korursunuz?
- Spring çerçevesini kullanan herkes için bir numaralı tavsiye, güvenli 5.3.18 veya 5.2.20 sürümlerine yükseltmektir.
- Apache Software Foundation ayrıca Apache Tomcat 10.0.20, 9.0.62 ve 8.5.78'in yamalı sürümlerini yayınladı.
- Ayrıca, Spring geliştiricileri, yamalı Spring Framework sürüm 2.5.12'e bağlı olarak Spring Boot 2.6.6 ve 5.3.18 uzantılarının yamalı sürümlerini yayınladı.
Yukarıdaki yazılımı herhangi bir nedenle güncelleyemezseniz, Resmi Spring web sitesindeki sorun giderme adımlarını takip etmelisiniz..
Başarılı bir saldırı riskini en aza indirmek için, tüm sunucuları ve internete bağlı diğer tüm bilgisayarları güvenilir bir güvenlik çözümü ile korumanızı öneririz. Halihazırda bir Kaspersky güvenlik çözümü kullanıyorsanız Gelişmiş Açık Önleme ve Ağ Saldırısı Engelleyici modüllerinin etkinleştirildiğinden emin olun.
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi