Nilaa Maharjan, LogPoint Global Services & Security Research
Dieser Blog-Beitrag bietet einen Überblick über die Untersuchungen, die im Zusammenhang mit der Schwachstellen-Familie SpringShell durchgeführt wurden. Dabei handelt es sich um einen Exploit, der in dem beliebten JAVA-Framework Spring gefunden wurde und auf Remote Code Execution (RCE) basiert. Der „LogPoint Emerging Threats Protection Report“ ergänzt diesen Blog-Beitrag und befasst sich mit Erkennungsmethoden, Playbooks für Untersuchungen sowie empfohlenen Reaktionsmaßnahmen und Best Practices.
In Folge der Log4Shell-Schwachstelle ist eine neue Serie von RCE-basierten Angriffen aufgetreten, die in der Cyberwelt für Schrecken sorgt. Am 29. März 2022 wurde in einer Reihe von (inzwischen gelöschten) Tweets diese neue Zero-Day-Schwachstelle enthüllt, bevor ein CVE veröffentlicht wurde. Im Framework Spring, einem beliebten JAVA-Framework, wurde eine schwerwiegende Sicherheitslücke namens Spring4Shell entdeckt – in der Hoffnung, dass diese eine ebenso große Welle auslösen würde wie Log4Shell zu Beginn dieses Jahres. Es handelt sich bei dieser Sicherheitslücke um einen Bypass für den Patch der Schwachstelle CVE-2010-1622. Der Angriff zielt auf Spring Core ab und wird im Referenzier-System als CVE-2022-22965 aufgeführt. Laut Spring wurde das Problem zuerst an VMware gemeldet. Die Community veröffentlichte umgehend einen Patch als Details durchsickerten und dieser Vorfall im Internet für große Aufmerksamkeit sorgte.
Aufgrund der hohen Abhängigkeit von zahlreichen Faktoren konnte diese Entwicklung nicht an den Vorgänger heranreichen. In Folge wurde der Begriff Spring4Shell in SpringShell umbenannt. Das bedeutet jedoch nicht, dass die Bedrohung nicht real ist. In allen Unternehmen, die sich auf das anfällige Spring-Framework verlassen, kann dieser Angriff einen beispiellosen Schaden verursachen und sollte deshalb sehr ernst genommen werden. Da LogPoint stets aufmerksam und proaktiv agiert, haben wir die Bedrohung analysiert und nach Wegen gesucht, um unsere Kunden zu schützen.
Seit der ersten Entdeckung hat sich SpringShell zu einer ganzen Schwachstellen-Familie entwickelt, da sich immer mehr Menschen damit befassen. Eine ähnliche RCE in der Spring Cloud Function wurde nicht lange danach aufgedeckt – mit den wenig kreativen Namen „Not Spring4Shell“ oder „Not SpringShell“.
Dabei handelt es sich um eine andere Schwachstelle als SpringShell, der Name wird jedoch synonym verwendet, da das Ziel und die Entdeckung mit dem Vorgänger übereinstimmen. Dennoch ist es wichtig zu differenzieren, da es sich um ganz andere TTPs handelt, und andere Formen von Angriffsvektoren sowie andere Module zum Einsatz kommen. Dieser Angriff, der die Spring Cloud Function nutzt, wird im Referenzier-System unter CVE-2022-22963 aufgeführt.
Ist Ihr Unternehmen davon betroffen?
Trotz der Möglichkeit einer vollständigen Übernahme des Servers erfordert der Angriff eine Reihe ganz bestimmter Voraussetzungen. Dies bedeutet, dass nicht jedes Unternehmen gefährdet ist. Damit der Exploit Schaden anrichten kann, muss das Zielsystem die folgenden Bedingungen erfüllen:
- Java Development Kit Version 9 oder höher
- Apache Tomcat als Servlet-Container
- Dateiformat WAR (Web Application Resource) anstelle des Standard-JAR (Java Archive)
- Abhängigkeiten von spring-webmvc oder spring-webflux
- Spring-Framework-Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 oder älter
Es kann jedoch noch weitere, bisher unbekannte Exploit-Möglichkeiten geben. Dieselbe Schwachstelle kann auch auf andere Weise ausgenutzt werden.
Für beide CVEs gibt es verschiedene POCs, die im Internet öffentlich zugänglich sind. Ein Bericht von Palo Alto Networks zeigt jedoch, dass über 80 Prozent der Angriffe mit denselben TTPs durchgeführt werden. Vor diesem Hintergrund haben die Teams von LogPoint Security Research und LogPoint Global Services einen Bericht veröffentlicht, der einen detaillierten Überblick über die Schwachstelle bietet und zeigt, wie Angriffe mit den SIEM- und SOAR-Funktionen von LogPoint erkannt und abgewehrt werden können.
Unmittelbare Abhilfemaßnahmen
Patches sind auf Spring.io verfügbar:
- Spring-Framework-Versionen 5.3.18 und 5.2.20
- Spring-Boot-Versionen 2.5.12 und 2.6.6
- Tomcat-Versionen 10.0.20, 9.0.62 und 8.5.78
Die wichtigste Empfehlung für alle, die das Spring-Framework verwenden, ist ein Upgrade auf die sicheren Versionen 5.3.18 oder 5.2.20.
Die Apache Software Foundation hat zudem gepatchte Versionen von Apache Tomcat 10.0.20, 9.0.62 und 8.5.78 veröffentlicht, in denen der Angriffsvektor seitens Tomcat geschlossen wird.
Die Spring-Entwickler haben auch gepatchte Versionen der Spring-Boot-Erweiterungen 2.5.12 und 2.6.6 veröffentlicht, die auf der gepatchten Version des Spring-Framework 5.3.18 beruhen.
Falls Sie aus irgendeinem Grund die oben aufgeführte Software nicht nutzen können, sollten Sie einen der Workarounds verwenden, die auf der offiziellen Spring-Website veröffentlicht sind.
Eine ausführliche Analyse der Schwachstelle sowie Informationen zur Erkennung und Prävention mit LogPoint finden Sie in unserem Report. Die Teams von Security Research und Global Services werden unsere Kunden laufend mit neuen Regeln, Erkennungsmethoden und Playbooks versorgen, um sicherzustellen, dass Ihre SIEM+SOAR-Lösung stets auf dem neuesten Stand und Ihre Infrastruktur sicher ist.
