Los investigadores y analistas de seguridad han estado estudiando detenidamente una vulnerabilidad de día cero de ejecución remota de código (RCE) recientemente descubierta en Spring Framework que algunos comparan con Log4Shell en su gravedad.
Predeciblemente llamado Spring4Shell o SpringShell en algunos sectores, evita una vulnerabilidad previamente conocida rastreada como CVE-2010-1622. Afecta a cualquier aplicación creada en el elemento de registro de Spring Core y a cualquiera que use software creado en Spring, que es un marco muy popular comparable en su escala a Apache Struts.
La vulnerabilidad requiere el uso de Java Development Kit (JDK) 9 o posterior para explotar y, si se explota, en última instancia, permite que un actor no autenticado ejecute código arbitrario en el sistema de destino.
Según Anthony Weems y Dallas Kaman de Praetorian, quienes estuvieron entre los primeros en confirmar la validez de la vulnerabilidad, la explotación es comparativamente trivial, “ya que solo requiere que un atacante envíe una solicitud HTTP manipulada a un sistema vulnerable” en algunas configuraciones. La explotación de diferentes configuraciones requerirá que el atacante realice una investigación adicional para encontrar cargas útiles efectivas, agregaron.
No existe ningún parche y rápidamente se puso a disposición un exploit de prueba de concepto público, por lo que es de esperar que Spring4Shell se utilice en ataques de forma inminente, y probablemente ya lo haya sido. El equipo de Praetorian emitió una mitigación temporal, cuyos detalles se pueden encontrar en el aviso de divulgación de Weems y Kaman.
Brian Fox, CTO de Sonatype, cuyo equipo también ha estado investigando Spring4Shell en las últimas 24 horas, dijo que las comparaciones con Log4Shell eran comprensibles, pero que la vulnerabilidad en última instancia podría no resultar tan impactante.
“La nueva vulnerabilidad parece permitir RCE no autenticado, pero al mismo tiempo tiene mitigaciones y actualmente no está al nivel de impacto de Log4j”, dijo Fox a Computer Weekly en comentarios por correo electrónico.
“Sin embargo, continuamos investigando esto para determinar cómo se desarrollará. Podemos apreciar que la memoria Log4shell reciente está causando ansiedad en la industria, ya que Spring es uno de los marcos de software más populares que existen. Independientemente, esto debería actuar como otra razón para que cada organización haga un balance de cómo están administrando sus componentes de terceros”.
El CISO de ExtraHop, Jeff Costlow, agregó: “Cuando salen a la luz exploits de día cero como Spring4Shell, las organizaciones entran inmediatamente en modo de pánico, luchando para determinar el radio de explosión potencial de la vulnerabilidad.
“Los equipos de seguridad deben comprender de inmediato qué software y dispositivos podrían verse afectados e identificar si hay algún dispositivo vulnerable en su entorno. Esto puede ser un desafío notable porque muchas organizaciones luchan por mantener un inventario actualizado de dispositivos en su entorno, y mucho menos tener la capacidad de detectar tipos y versiones de software que se ejecutan en sus dispositivos comerciales”.
Al mismo tiempo, ha surgido confusión sobre una vulnerabilidad separada, informada como CVE-2022-22963, una vulnerabilidad RCE en Spring Cloud Function de VMware, y algunos han combinado las dos.
Según VMware, CVE-2022-22963 afecta a las versiones 3.1.6 y 3.2.2, y versiones anteriores no compatibles de Spring Cloud Function. Permite a un actor malicioso proporcionar un lenguaje de expresión Spring (SpEL) especialmente diseñado como una expresión de enrutamiento cuando usa la funcionalidad de enrutamiento, lo que puede darle acceso a los recursos locales. Las versiones 3.1.7 y 3.2.3 lo solucionan, por lo que los usuarios deben actualizar tan pronto como sea posible.
Travis Biehn, consultor principal de seguridad de Synopsys, dijo que la confusión y la combinación de las dos vulnerabilidades hablaban de cuestiones más amplias sobre cómo se realizan y difunden las revelaciones dentro de la comunidad cibernética en línea.
Sugirió que la calificación de gravedad aplicada a CVE-2022-22963 por VMware puede subestimar su impacto potencial, mientras que el hecho de que muchas voces influyentes en la comunidad “inicialmente se burlaron” de Spring4Shell como una noticia falsa o un simple malentendido, podría dejar a los defensores en seis. y sietes.
“CVE-2022-22963 es lo que sucede cuando se sigue la divulgación responsable: un proveedor puede minimizar la importancia de una vulnerabilidad, lo que dificulta la acción”, dijo Biehn. “Spring4Shell es lo que sucede cuando no se siguen los procesos de divulgación responsable: la falta de información creíble inmediata y completamente examinada en un mar de personalidades fuertes hace que un trabajo que ya es difícil parezca imposible”.