Дослідники виявили критичну вразливість Spring4Shell у популярному фреймворку Java Spring. Експерти Kaspersky пояснюють, як це працює, чому це так небезпечно та як захистити себе. І: що все це не має нічого спільного з Log4Shell або Log4j.
Дослідники виявили критичну вразливість (CVE-2022-22965) у фреймворку з відкритим кодом платформи Java «Spring». Подробиці про вразливість вже просочилися в громадськість ще до офіційного оголошення та виходу відповідних патчів.
Уразливість відразу ж привернула увагу фахівців з інформаційної безпеки, оскільки потенційно становить серйозну загрозу для багатьох веб-додатків. На основі розкрученої уразливості Log4Shell нульового дня нещодавно виявлена вразливість отримала назву Spring4Shell.
Патчі Spring4Shell вже в обігу
Розробники фреймворку VMware Spring вже випустили патчі для вразливих програм. Тому ми рекомендуємо всім компаніям, які використовують Spring Framework версії 5.3 і 5.2, негайно оновити до версій 5.3.18 або 5.2.20.
Що таке Spring4Shell і чому ця вразливість така небезпечна?
Уразливість відноситься до категорії «RCE» (Remote Code Execution) і дозволяє зловмисникам віддалено виконувати шкідливий код. Згідно з рейтинговою системою CVSS v3.0, вразливість наразі має рівень серйозності 9,8/10 і впливає на програми Spring MVC і Spring WebFlux, що працюють на Java Development Kit версії 9 або вище.
Дослідники повідомили про виявлену вразливість у VMware у вівторок ввечері, але доказ концепції вразливості було опубліковано на GitHub у середу. PoC був швидко видалений, але лише після того, як про це дізналися експерти з безпеки. Дуже малоймовірно, що експлойт такого калібру залишився б непоміченим кіберзлочинцями.
Популярний серед розробників фреймворк Spring
Фреймворк Spring дуже популярний серед розробників Java, що означає, що потенційно багато програм можуть постраждати від уразливості. Відповідно до публікації Bleeping Computer, уразливі до Spring4Shell програми Java можуть стати першопричиною великої кількості серверів. Згідно з тим же дописом, уразливість вже активно використовується кіберзлочинцями.
Додаткові технічні деталі та ознаки компрометації експлойтів Spring4Shell можна прочитати в нашому блозі на Securelist. У цій же публікації ви також можете знайти подробиці про іншу критичну вразливість у Spring Java Framework (CVE-2022-22963).
Використання вразливості Spring4Shell
Єдиний відомий метод експлойту Spring4Shell на момент публікації вимагає поєднання кількох факторів. Для успішного використання наступні компоненти повинні бути використані на стороні атаки:
- Java Development Kit версії 9 або новішої;
- Apache Tomcat як контейнер сервлетів;
- Формат файлу WAR (Ресурс веб-додатку) замість стандартного JAR;
- залежності spring-webmvc або spring-webflux;
- Версії Spring Framework від 5.3.0 до 5.3.17, від 5.2.0 до 5.2.19 або старіші.
Однак цілком можливо, що існують інші раніше невідомі експлойти, і цю вразливість можна використати іншими способами.
Як захистити себе від Spring4Shell
- Порада номер один для тих, хто використовує фреймворк Spring, — оновити його до безпечної версії 5.3.18 або 5.2.20.
- Apache Software Foundation також випустила виправлені версії Apache Tomcat 10.0.20, 9.0.62 і 8.5.78.
- Крім того, розробники Spring випустили виправлені версії розширень Spring Boot 2.5.12 і 2.6.6, які залежать від виправленої версії Spring Framework 5.3.18.
Якщо ви не можете оновити вищезгадане програмне забезпечення з будь-якої причини, слідкуйте за усуненням несправностей на офіційному веб-сайті Spring.
Щоб мінімізувати ризик успішної атаки, ми рекомендуємо вам захистити всі сервери та всі інші комп’ютери, підключені до Інтернету, за допомогою надійного рішення безпеки. Якщо ви вже використовуєте рішення безпеки Kaspersky, переконайтеся, що модулі Advanced Exploit Prevention і Network Attack Blocker увімкнено.
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/