Spring4Shell sérülékenység

Online hírportálok 2022. március 30-án a Spring Java-alapú keretrendszer egy lehetséges nulladik napi távoli kódfuttatású (RCE) hibájáról közöltek információt, amelyre „Spring4Shell/SpringShell” elnevezéssel hivatkoznak. (Az elnevezés utalás a 2021 decemberében nyilvánosságra került, és világszerte pánikot okozó Log4Shell sebezhetőségre (CVE-2021-44228), azonban technikailag ahhoz nincs köze.)

A Rapid7 információi szerint[1] egy feltételezetten kínai kutató egy olyan sérülékenység kihasználási kódot (proof-of-concept  – PoC) publikált a GitHubon, amely a Spring keretrendszer Core modulját érintő, korábban nem ismeret (nulladik napi) hibát kihasználva egy nem hitelesített támadó számára távoli kódfuttatásra adhat módot. Ez a PoC rövid időn belül eltávolításra került a GitHubról, azonban Spring4Shell híre jelentős pánikot keltett szakmai körökben, ugyanis a Spring az egyik legszélesebb körben alkalmazott Java keretrendszer.

A sebezhetőség körüli zavarodottságot fokozta, hogy a héten két másik Spring sebezhetőség is javításra került (CVE-2022-22963,  CVE-2022-22950)[2].

 A gyártói közlemény

A Spring4Shell sérülékenység tényét a gyártó március 31-i közleményében[3] megerősítette, ami már CVE azonosítóval CVE-2022-22965 is rendelkezik.

A közlemény szerint a sebezhetőség JDK 9+ rendszeren futó Spring MVC és Spring WebFlux alkalmazásokat érinti, bizonyos konfigurációk esetén, azonban a gyártó nem zárja ki, hogy más kihasználási módok is létezhetnek.

A gyártó vészhelyzeti frissítést adott ki a hiba kezelésére, így az a Spring Framework 5.3.18 és 5.2.20-as verziókban javításra került, emellett megkerülő megoldásokat is közzétett azon rendszerekhez, ahol a legfrissebb verzió telepítése akadályba ütközik.

Felhasznált források:

[1] https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/

[2] https://www.securityweek.com/spring4shell-spring-flaws-lead-confusion-concerns-new-log4shell-threat

[3] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement