Νέα ευπάθεια zero-day που ανακαλύφθηκε πρόσφατα στο πλαίσιο Java Spring Core, γνωστή ως «Spring4Shell», επιτρέπει την εκτέλεση απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας σε εφαρμογές.
Δείτε επίσης: H Google διορθώνει Chrome zero-day bug που χρησιμοποιείται σε επιθέσεις
Το Spring είναι ένα πολύ δημοφιλές πλαίσιο εφαρμογών που επιτρέπει στους προγραμματιστές λογισμικού να αναπτύσσουν γρήγορα και εύκολα εφαρμογές Java με λειτουργίες εταιρικού επιπέδου. Αυτές οι εφαρμογές μπορούν στη συνέχεια να αναπτυχθούν σε διακομιστές, όπως ο Apache Tomcat, ως αυτόνομα πακέτα με όλες τις απαιτούμενες εξαρτήσεις.
Oι πληροφορίες σχετικά με μια κρίσιμη ευπάθεια εκτέλεσης απομακρυσμένου κώδικα Spring Core, κυκλοφόρησαν στην υπηρεσία συνομιλίας QQ και σε έναν κινεζικό ιστότοπο ασφάλειας στον κυβερνοχώρο.
Μια εκμετάλλευση για αυτήν την ευπάθεια zero-day διέρρευσε για λίγο και στη συνέχεια αφαιρέθηκε, αλλά όχι προτού οι ερευνητές κυβερνοασφάλειας μπορέσουν να κατεβάσουν τον κώδικα.
Έκτοτε, πολλοί ερευνητές και εταιρείες ασφάλειας έχουν επιβεβαιώσει ότι η ευπάθεια είναι έγκυρη και προκαλεί σημαντική ανησυχία.
Ενώ αρχικά θεωρήθηκε ότι επηρεάζει όλες τις εφαρμογές Spring που εκτελούνται σε Java 9 ή νεότερη έκδοση, αργότερα διαπιστώθηκε ότι υπάρχουν συγκεκριμένες απαιτήσεις που πρέπει να πληρούνται για να είναι ευάλωτη μια εφαρμογή Spring.
Δείτε ακόμα: Ευπάθεια zero-day των Windows παραμένει χωρίς επιδιόρθωση
Ο Will Dormann, αναλυτής ευπαθειών στο CERT/CC, είπε ότι μια εφαρμογή πρέπει επίσης να χρησιμοποιεί “Spring Beans”, “Spring Parameter Binding” και ένα “Spring Parameter Binding πρέπει να διαμορφωθεί ώστε να χρησιμοποιεί έναν μη βασικό τύπο παραμέτρου, όπως π.χ. POJOs.”
Η εταιρεία κυβερνοασφάλειας Praetorian επιβεβαίωσε επίσης ότι το σφάλμα βασίζεται σε συγκεκριμένες διαμορφώσεις για να εκμεταλλευτεί.
Ενώ οι απαιτήσεις ενδέχεται να περιορίζουν το μέγεθος του στόχου, η ευπάθεια Spring4Shell χρησιμοποιείται ήδη ενεργά σε επιθέσεις.
Οι φορείς απειλών μπορούν να χρησιμοποιήσουν αυτά τα exploits για να εκτελέσουν εντολές στον διακομιστή, κάτι που θα επιτρέψει την πλήρη απομακρυσμένη πρόσβαση στη συσκευή.
Αυτή η ευπάθεια zero-day δεν έχει επιδιορθωθεί. Επομένως, μια γραμμή άμυνας θα ήταν να τροποποιήσετε τον πηγαίο κώδικα προσαρμοσμένων εφαρμογών Spring για να διασφαλίσετε ότι αυτά τα «προστατευτικά κιγκλιδώματα» βρίσκονται στη θέση τους. Ωστόσο, οι οργανισμοί που χρησιμοποιούν εφαρμογές τρίτων που είναι επιρρεπείς σε αυτήν την ευπάθεια , δεν μπορούν να επωφεληθούν από αυτήν την προσέγγιση.
Δείτε επίσης: Νέο JavaScript malware μολύνει Windows PCs με RATs
Εάν ο οργανισμός σας έχει διαθέσιμο ένα τείχος προστασίας εφαρμογών ιστού (WAF), η δημιουργία προφίλ οποιωνδήποτε επηρεαζόμενων εφαρμογών που βασίζονται στο Spring για να δείτε ποιες συμβολοσειρές μπορούν να χρησιμοποιηθούν στα σύνολα κανόνων εντοπισμού WAF θα βοηθούσε στην αποτροπή κακόβουλων προσπαθειών εκμετάλλευσης.
