Spring4Shell

2022 - 3 - 31

Post cover — Image courtesy of "it-daily.net"

Sicherheitslücken Spring Cloud und Spring Core (Spring4Shell) (it-daily.net)

Satnam Narang, Staff Research Engineer, Tenable, erläutert die Unterschiede zwischen zwei Sicherheitslücken, die aktuell in den Nachrichten auftauchen ...

Trotz der Namenskonvention, die eine Ähnlichkeit mit Log4Shell aufweist, ist Spring4Shell nicht verwandt und scheint nicht so groß zu sein wie Log4Shell. Spring4Shell hat einige nicht standardmäßige Konfigurationsanforderungen, obwohl unklar ist, welche Anwendungen diese implementieren. Es gibt Berichte, die CVE-2022-22963 mit einer separaten, angeblichen Schwachstelle für Remotecodeausführung in Spring Core, genannt Spring4Shell oder SpringShell, in Verbindung bringen. März veröffentlichte VMware ein Advisory für eine Sicherheitslücke in Spring Cloud Function (CVE-2022-22963), einem Framework zur Implementierung von Geschäftslogik über Funktionen. Die Schwachstelle hat derzeit eine CVSSv3-Bewertung von 5.4. Da die Schwachstelle jedoch als Fehler bei der Remotecodeausführung gilt, der von einem nicht authentifizierten Angreifer ausgenutzt werden kann, scheint die CVSSv3-Bewertung die tatsächlichen Auswirkungen dieses Fehlers nicht widerzuspiegeln.

Verwirrung um kritische Sicherheitslücke im Umfeld des Spring ... (heise online)

Das Spring-Entwicklerteam stellt Patches für zwei Sicherheitslücken zur Verfügung. Daneben droht jedoch mit Spring4Shell eine weitere Gefahr.

Offenbar ist auch in Spring Cloud Function, ein auf Spring Boot basierenden funktionalen Computing-Framework, eine Sicherheitslücke aufgetreten. Im Sommer 2017 hatte das Spring-Team mit Spring Cloud Function ein neues Projekt vorgestellt, das sich dem damaligen Trendthema Serverless Computing widmet. Die Funktionsobjekte lassen sich zusammen mit einem isolierten Classloader als JAR-Dateien (Java Archive) paketieren. Die Cybersecurity-Plattform Rapid 7 fasst die aktuellen Ereignisse in dieser doch noch unklaren Lage in einem Blogbeitrag zusammen. Das Entwicklerteam hat bereits mit der Veröffentlichung des Updates Maßnahmen zum Schließen der Schwachstelle ergriffen. AccessLogValve-Objekt und manipulierte Feldwerte über die Parameter-Bindungsfunktion des Frameworks erhalten, wodurch der Pipeline-Mechanismus ausgelöst wird und beliebige Felder beschrieben werden. Ähnliches scheint sich nun im Kern des Frameworks Spring abzuspielen. Derartige Attacken legen IT-Infrastrukturen und Internetverbindungen lahm, indem sie Server so lange mit Millionen von Anfragen bombardieren, bis diese nicht mehr antworten können oder abstürzen. Im Umfeld des quelloffenen Java-Frameworks Spring sind offenbar drei Sicherheitslücken aufgetaucht. Unter der CVE-Nummer CVE-2022-22963 findet sich ein Bericht zu einer "Spring Expression Resource Access Vulnerability". Genauer heißt es darin, dass es in den Versionen 3.1.6, 3.2.2 und älteren der Spring Cloud Function bei der Verwendung von Routing-Funktionen möglich ist, dass Angreifer einen speziell gestalteten Spring Expression Language-Ausdruck (SpEl) einspielen können, der ihnen den Zugriff auf lokale Ressourcen ermöglicht. Betroffenen Nutzerinnen und Nutzern wird das Update auf Spring Cloud Function 3.1.7, beziehungsweise 3.2.3 empfohlen. Zum einen findet sich in der noch recht unklaren Berichterstattung ein Hinweis auf eine Zero-Day-Sicherheitslücke namens Spring4Shell und eine Denial-of-Service-Schwachtstelle (DoS) unter CVE-2022-22950 in Spring Framework sowie eine Schwachstelle in den Spring Cloud Functions mit der CVE-Nummer CVE-2022-22963. Überdies liegt unter der CVE-Nummer CVE-2022-22950 ein weiterer Bericht über eine Sicherheitslücke in Spring Framework vor.

EM - Le bogue RCE de 0 jour de Java Spring Framework non ... (EBENE MAGAZINE)

Une vulnérabilité d'exécution de code à distance (RCE) zero-day a été découverte dans le framework Spring peu de temps après qu'un chercheur en sécurité ...

“Si l’exemple de code est vulnérable, alors je soupçonne qu’il existe effectivement des applications du monde réel qui sont vulnérables au RCE.” L’analyse initiale de la nouvelle faille d’exécution de code dans Spring Core suggère que son impact pourrait ne pas être grave. Dans l’intervalle, la société recommande “de créer un composant ControllerAdvice (qui est un composant Spring partagé entre les contrôleurs) et d’ajouter des modèles dangereux à la liste de refus”.

Faille Spring4shell, encore un cauchemar pour les entreprises (LeMondeInformatique)

Quelques semaines après l'exploit Log4Shell, une autre vulnérabilité zero day concernant cette fois le framework de développement Java Spring a été ...

Plusieurs chercheurs et analystes en sécurité dont Will Dormann analyste au CERT/CC ont pu confirmer que cet exploit Spring4Shell fonctionne bien et s'appuie sur la pile « Handling Form Submission » du framework. Après la bibliothèque java Log4j, un vulnérabilité de type zero day concernant le framework java Spring a été identifié et un PoC d'exploit fonctionnel publié sur le web. Il s'agit d'une méthode dans l'interface de programmation de modèle d'objet standard HTML DOM utilisée pour envoyer des données de formulaire à un serveur web. La vuln Spring4Shell été révélée ce 30 mars par un chercheur en sécurité chinois ayant publié un PoC d'exploit basé sur le module Core de cet environnement open source Spring racheté en 2009 par VMware et adossé à Pivotal qui lui appartient pleinement depuis 2019. D'ores et déjà baptisé Spring4Shell ou SpringShell, il est lié à une faille de type exécution de code malveillant à distance (RCE) dans le célèbre environnement de développement d'applications web Java modernes, Spring. A noter qu'elle n'a rien à voir avec une autre RCE publiée le 29 mars concernant Spring Cloud (CVE-2022-22963), pas plus qu'une précédente (28 mars) CVE-2022-22950 pouvant déboucher sur des attaques par déni de service sur les versions 5.3.0 à 5.3.15 de Spring Framework Le fournisseur de solutions de sécurité Rapid7 s'est toutefois montré prudent en indiquant qu'il existait beaucoup de confusion autour de cette révélation et que cette faille n'est pas exploitable sur des installations packagées (out of the box) de Spring. « Des PoC d'exploit existent, mais il est actuellement difficile de savoir quelles applications du monde réel utilisent cette fonctionnalité vulnérable. La configuration et la version JRE peuvent également constituer des facteurs importants de probabilité d'exploit généralisé ».

Java: Exploit für RCE-Lücke in Spring geleakt - Golem.de (Golem.de)

Unter Umständen reicht ein HTTP-Request, um Spring-Anwendungen eine Webshell unterzujubeln. Die Lücke wird wohl bereits ausgenutzt.