Nilaa Maharjan, Logpoint Global Services & Security Research

Det här blogginlägget ger en översikt över forskningen om den växande gruppen sårbarheter som bygger på SpringShell – en angreppsmetod baserad på RCE (Remote Code Execution) som utnyttjar sårbarheter i JAVA-ramverket Spring. Efter blogginlägget finns en länk till Logpoints rapport ”Emerging Threats Protection” som täcker identifieringsmetoder, playbooks för undersökning samt rekommenderade åtgärder och bästa praxis. 

I kölvattnet av sårbarheten Log4Shell har en ny serie RCE-baserade angrepp börjat skapa massterror på cyberfronten. Den 29 mars 2022 avslöjade en rad tweets (nu raderade) denna nya zero-day-sårbarhet innan en CVE hade publicerats. Spring4Shell är en allvarlig sårbarhet som har upptäckts i det populära JAVA-ramverket Spring och illasinnade aktörer hoppades att den skulle orsaka en lika stor våg som Log4Shell gjorde tidigare i år. Den identifierades som ett sätt att kringgå patchen för sårbarheten CVE-2010-1622. Denna attack riktar sig mot Spring Core som har CVE-benämningen CVE-2022-22965. Enligt Spring rapporterades problemet först till VMware. Företaget släppte omedelbart en patch när detaljerad information om sårbarheten läcktes och spreds på internet.

För mer detaljerad information:

Ladda ner rapporten

På grund av dess starka beroende av många faktorer levde hypen inte upp till sin föregångare. Till följd av detta har Spring4Shell döpts om till SpringShell. Men detta betyder inte att hotet inte är verkligt. För alla branscher som förlitar sig på ramverket Spring med en sårbar installation, är det troligt att en attack kan orsaka stora skador och bör tas på allvar. Logpoint är vaksamma och proaktiva och analyserar hotet och tittar på sätt att hålla våra kunder skyddade.

Sedan den första upptäckten har SpringShell utvecklats till en familj av sårbarheter i takt med att fler har börjat undersöka den. En liknande RCE-sårbarhet i Spring Cloud Function upptäcktes kort därefter, med ett mycket okreativt namn: ”not Spring4Shell” eller ”not SpringShell”.

Detta är en separat sårbarhet från SpringShell, men namnet används omväxlande på grund av att dess mål och identifiering sammanföll med dess föregångare. Det är dock viktigt att skilja på den eftersom den har en mycket annorlunda TTP-profil (Tactics, Techniques and Procedures) och en varierande form av attackvektorer och olika moduler totalt sett. Nu med CVE-benämningen CVE-2022-22963 utnyttjar denna attack Spring Cloud Function.

Påverkas jag?

Trots potentialen för ett fullständigt övertagande av servern kräver angreppet en rad mycket speciella förutsättningar, vilket innebär att inte alla är i fara. För att exploateringen ska lyckas måste målsystemet uppfylla alla följande villkor:

  • Java Development Kit version 9 eller senare;
  • Apache Tomcat som servlet-container.
  • Filformatet WAR (Web Application Resource) istället för standardformatet JAR;
  • Beroenden på spring-webmvc eller spring-webflux;
  • Spring Framework version 5.3.0 till 5.3.17, 5.2.0 till 5.2.19 eller äldre.

Det kan dock finnas fler ännu okända möjligheter till exploatering och samma sårbarhet kan komma att utnyttjas på något annat sätt.

Båda CVE:er har olika publika POC:er som finns tillgängliga på internet, men en rapport från Palo Alto Networks visar att över 80 % av attackerna upptäcks med samma TTP. Med detta i åtanke har Logpoints Security Research- och Global Services-team publicerat en rapport som ger en detaljerad översikt över sårbarheten och hur man identifierar och försvarar sig mot attacker med hjälp av Logpoints SIEM- och SOAR-funktioner.

Omedelbara begränsningsåtgärder

Patchar finns tillgängliga via Spring.io:

  • Spring Framework version 5.3.18 och 5.2.20
  • Spring Boot version 2.5.12 och 2.6.6
  • Tomcat version 10.0.20, 9.0.62 och 8.5.78

Det huvudsakliga rådet för alla som använder ramverket Spring är att uppgradera till de säkra versionerna 5.3.18 eller 5.2.20.

Apache Software Foundation har också släppt patchade versioner av Apache Tomcat 10.0.20, 9.0.62 och 8.5.78, där attackvektorn är spärrad på Tomcat-sidan.

Utvecklarna av Spring har också släppt patchade versioner av Spring Boot 2.5.12 och 2.6.6 tillägg som är beroende av den patchade versionen av Spring Framework 5.3.18.

Om du av någon anledning inte kan uppdatera ovan nämnda programvara, bör du använda en av de provisoriska lösningar som publicerats på Springs officiella webbplats.

För en detaljerad analys av sårbarheten och identifiering och förebyggande med hjälp av Logpoint, se bifogad rapport. Security Research- och Global Services-teamen kommer att uppdatera våra kunder med nya regler, identifieringsmetoder och playbooks för att säkerställa att din SIEM+SOAR-lösning är uppdaterad och håller din infrastruktur säker. 

För mer detaljerad information:

Ladda ner rapporten gratis