Nilaa Maharjan, Logpoint Global Services & Security Research

Dette blogindlæg giver et overblik over den forskning, der er foretaget i den nye SpringShell-familie af sårbarheder – en RCE-baseret (Remote Code Execution) udnyttelse, der findes i det populære JAVA-framework Spring. Blogindlægget ledsages af en Logpoint Emerging Threats Protection-rapport, der dækker detektionsmetoder, undersøgelsesplaybooks og anbefalede reaktioner og bedste praksis. 

I kølvandet på Log4Shells sårbarhed er en ny serie RCE-baserede angreb i vækst, som resulterer i masseterror på cyberfronten. Den 29. marts 2022 afslørede nogle tweets (som nu er slettet) denne nye 0 day-udnyttelse, før en CVE blev offentliggjort. Der blev fundet en alvorlig sårbarhed ved navn Spring4Shell i det populære Java Framework Spring Framework med det formål at ville skabe en lige så stor en bølge, som Log4Shell gjorde tidligere i år. Den blev identificeret som en bypass for patchen til sårbarheden CVE-2010-1622. Dette angreb er målrettet Spring Core, som nu får CVE CVE-2022-22965. Ifølge Spring blev problemet først rapporteret til VMware. De udsendte straks en patch, da internettet var ved at flyde over med alle detaljer om hændelsen.

Yderligere oplysninger:

Download rapporten

På grund af dens meget afhængige natur af mange faktorer levede hypen ikke op til sin forgænger. Efterfølgende er betegnelsen Spring4Shell blevet omdøbt til SpringShell. Det betyder dog ikke, at truslen ikke er reel. For alle de brancher, der er afhængige af Spring Framwork med den sårbare udrulning, vil et angreb sandsynligvis forårsage hidtil usete skader og bør tages alvorligt. Hos LogPoint er vi årvågne og proaktive, og vi analyserer derfor truslet og ser på måder, hvorpå vi kan beskytte vores kunder.

Siden den første opdagelse har SpringShell udviklet sig til en familie af sårbarheder, som rammer flere og flere. En lignende RCE i Spring Cloud Function blev opdaget kort tid efter med et meget fantasiløst navn; “not Spring4Shell” eller “not SpringShell”.

Dette er en separat sårbarhed fra SpringShell, men navnet bruges i flæng på grund af dets mål og opdagelse, der falder sammen med dets forgængers. Det er dog vigtigt at skelne, da der er tale om meget forskellige TTP samt varierende angrebsvektorer og moduler. Dette angreb, som nu har CVE CVE-2022-22963, gør brug af Spring Cloud-funktionen.

Er jeg påvirket?

Trods muligheden for en fuldstændig overtagelse af serveren kræver angrebet et helt særligt sæt krav, hvilket betyder, at ikke alle er i fare. For at udnyttelsen kan lykkes, skal målsystemet have opfyldt alle følgende betingelser:

  • Java Development Kit version 9 eller nyere
  • Apache Tomcat som servletbeholder
  • WAR-filformatet (Web Application Resource) i stedet for standard JAR
  • Afhængigheder af spring-webmvc eller spring-webflux
  • Spring Framework version 5.3.0 til 5.3.17, 5.2.0 til 5.2.19 eller ældre

Der kan dog være flere endnu ukendte muligheder for udnyttelse, og den helt samme sårbarhed kan udnyttes på en anden måde.

Begge CVE’er har forskellige POC’er, der er offentligt tilgængelige på internettet, men en rapport fra Palo Alto Networks viser, at over 80 % af angrebene findes ved hjælp af samme TTP. Med dette in mente har Logpoints Security Research- og Global Services-teams offentliggjort rapporten, der giver en detaljeret oversigt over sårbarheden, og hvordan man opdager og forsvarer sig mod angreb ved hjælp af Logpoints SIEM- og SOAR-funktioner.

Øjeblikkelige afhjælpningsforanstaltninger

Patches fås gennem Spring.io:

  • Spring Framework version 5.3.18 og 5.2.20
  • Spring Boot version 2.5.12 og 2.6.6
  • Tomcat version 10.0.20, 9.0.62 og 8.5.78

Det vigtigste råd til alle, der bruger Spring Framework, er at opgradere til de sikre versioner 5.3.18 eller 5.2.20.

Apache Software Foundation har også udgivet patchede versioner af Apache Tomcat 10.0.20, 9.0.62 og 8.5.78, hvor angrebsvektoren er lukket på Tomcat-siden.

Spring Developers har også udgivet patchede versioner af Spring Boot-udvidelserne 2.5.12 og 2.6.6, der er afhængige af den patchede version af Spring Framework 5.3.18.

Hvis du af en eller anden grund ikke kan opdatere ovennævnte software, skal du bruge en af de midlertidige løsninger, der er offentliggjort på den officielle Spring-hjemmeside.

Du kan finde en detaljeret analyse af sårbarheden samt detektion og forebyggelse ved hjælp af LogPoint i den vedhæftede rapport. Vores Security Research- og Global Services-teams vil blive ved med at opdatere vores kunder med nye regler, detektionsmetoder og playbooks for at sikre, at din SIEM+SOAR-løsning er opdateret, så du kan opretholde sikkerheden for infrastrukturen. 

Yderligere oplysninger:

Download rapporten gratis