Microsoft et CISA ont mis en garde contre l’exploitation de ‘Spring4Shell’ dans la nature.

Comme rapporté précédemment par La gorgée quotidiennela semaine dernière, les développeurs de Spring Framework ont ​​publié des correctifs s’attaquant à CVE-2022-22963, une vulnérabilité d’injection de code dans Spring Cloud Function, et à CVE-2022-22965, encore plus dangereux, qui a depuis acquis le nom de « Spring4Shell », ou ‘SpringShell’.

Le dernier des deux bogues est la principale cause d’inquiétude des entreprises. Spring4Shell est une vulnérabilité critique dans le module Core basé sur Java (JDK 9+) du Spring Framework open source de VMWare et, si elle est exploitée, peut être utilisée pour réaliser l’exécution de code à distance (RCE).

Spring4Shell est basé sur un bogue hérité suivi comme CVE-2010-1622 et corrigé en 2010. JDK 9+ a deux méthodes de restriction de bac à sable, contrairement aux versions précédentes qui en incluaient une – et ce changement de codage a créé un contournement pour que l’ancien bogue refait surface.

Le code d’exploitation a été publié en ligne.

Coque inversée

Le 4 avril, l’équipe Microsoft 365 Defender Threat Intelligence a déclaré que les attaquants pourraient déclencher cette faille en envoyant des requêtes conçues de manière malveillante à un serveur Web Apache Tomcat exécutant une version vulnérable de Spring Core.

Microsoft a suivi un « faible volume » de tentatives d’exploitation sur l’ensemble de ses services cloud à l’aide de Spring4Shell, avec de nombreuses tentatives alignées sur le code de preuve de concept (PoC) Web Shell de base disponible en ligne.

« Le PoC définit le contenu comme étant un shell Web JSP et le chemin à l’intérieur du répertoire ROOT de l’application Web de Tomcat, qui dépose essentiellement un shell inversé à l’intérieur de Tomcat », explique Microsoft.

« Pour que l’application Web soit vulnérable, elle doit utiliser la fonctionnalité de mappage des demandes de Spring, la fonction de gestionnaire recevant un objet Java en tant que paramètre. »

Alerte CISA

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis émis une alerte le 1er avril, avertissement des vulnérabilités Spring4Shell et Spring Cloud Function.

Aux côtés de VMware, l’agence exhorte les administrateurs à appliquer des correctifs pour résoudre ces problèmes en urgence.

Le centre de coordination du CERT a fourni un liste d’impact fournisseur. Il semble que les logiciels utilisant Spring proposés par des organisations telles que Blueriq, Cisco, Jamf, CTPd’Atlassian ACSBet chapeau rouge sont affectés.

Des entreprises dont F5 et Fortinet étudient le problème et tout impact potentiel sur le client.

Les avis ont également été libéré pour les produits VMWare utilisant le framework Spring et, par conséquent, vulnérables à CVE-2022-22965 : VMware Tanzu Application Service for VMs, Tanzu Operations Manager et Tanzu Kubernetes Grid Integrated Edition (TKGI).

Des patchs ont été développés et libéré dans Spring Framework versions 5.3.18 et 5.2.20. En outre, le projet a également introduit des correctifs dans Démarrage de printemps 2.6.6 et Démarrage de printemps 2.5.12.

Le printemps a publié un ‘Suis-je concerné ?‘ guide à côté solutions de contournement si un correctif immédiat n’est pas possible.