Parches para Vulnerabilidad Spring4Shell-CVE-2022-22965
AS-029-2022
Fecha: 01/Abr/2022
Resumen:
Se reporta la vulnerabilidad Spring4Shell con CVE-2022-22965 y score CVSS 9.8 (Crítico). Este es un fallo de día cero que permite ejecución de código remoto sin necesidad de autenticar a un usuario.
La explotación exitosa de la vulnerabilidad requiere que los aplicativos afectados corran en Tomcat, de forma empaquetada como WAR, usen la versión de JDK 9+ o superior, y tengan las dependencias spring-webmvcspring-webflux
Si la aplicación se implementa como un jar ejecutable de Spring Boot, no es vulnerable al exploit. Sin embargo, la naturaleza de la vulnerabilidad es más general, y puede haber otras formas de explotarla.
Las aplicaciones vulnerables son las que implementan las versiones de Spring Framework 5.3.0 a 5.3.17, 5.2.0 a 5.2.19, y anteriores.
Versiones vulnerables
Recomendaciones:
Al momento existen varios exploits públicos que permiten explotar la vulnerabilidad, y se recomienda actualizar las versiones de Spring, o aplicar las mitigaciones dadas por el fabricante.
Los administradores de Spring deben priorizar la implementación de estas actualizaciones de seguridad lo antes posible, ya que se han creado escáneres de Spring4Shell y hay informes de que la vulnerabilidad ya se está explotando activamente en la naturaleza.
Referencias:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://tanzu.vmware.com/security/cve-2022-22965
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965
https://www.bleepingcomputer.com/news/security/spring-patches-leaked-spring4shell-zero-day-rce-vulnerability/
https://www.bankinfosecurity.com/springshell-spring-cloud-function-bugs-need-urgent-patching-a-18822
https://www.darkreading.com/vulnerabilities-threats/spring-fixes-zero-day-vulnerability-in-framework-spring-boot
https://therecord.media/spring-confirms-spring4shell-zero-day-releases-patched-update/
https://nakedsecurity.sophos.com/2022/03/31/two-different-vmware-spring-bugs-at-large-we-cut-through-the-confusion/
https://thehackernews.com/2022/03/security-patch-releases-for-critical.html
https://unit42.paloaltonetworks.com/cve-2022-22965-springshell/
https://www.theregister.com/2022/03/31/spring_vuln/
https://www.csoonline.com/article/3655932/remote-code-execution-flaws-in-spring-and-spring-cloud-frameworks-put-java-apps-at-risk.html
https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
https://isc.sans.edu/forums/diary/Spring+Vulnerability+Update+Exploitation+Attempts+CVE202222965/28504/
https://www.itnews.com.au/news/sans-spots-spring4shell-vulnerability-exploitation-attempts-578164