Spring4Shell – O nouă vulnerabilitate de tip Zero-Day

Spring4Shell – O nouă vulnerabilitate de tip Zero-Day

O vulnerabilitate de tip zero-day este o vulnerabilitate a unui sistem informatic, necunoscută de către producător și, implicit, de echipele de securitate cibernetică defensivă.

Internetul a explodat la sfârșitul lunii martie din cauza unei noi vulnerabilități de tip Zero-Day denumită ,,Spring4Shell” – CVE-2022-22965. Vulnerabilitatea afectează unul dintre cele mai cunoscute și folosite framework-uri open-source de Java: Spring MVC și Spring Webflux; cele care rulează pe JDK versiunea 9 sau mai noi;

Vulnerabilitatea Spring4Shell permite atacatorului să execute comenzi direct și fără restricții pe terminalul țintit de către acesta (RCE).

Această vulnerabilitate a fost marcată ca având un risc ridicat din cauza faptului că nu exista patch-uri la momentul publicarii sale, iar exploatarea ei se poate face cu ușurinta.

Pe de alta parte, un aspect pozitiv care împiedică această vulnerabilitate să creeze un haos este faptul că Spring4Shell apare doar pe serverele Tomcat care rulează fișiere de tip WAR , o practică destul de învechită și utilizată doar în cazul proiectelor de dimensiuni reduse.

Update-uri și recomandări:

Aprilie 1, 2022
Updated Workarounds section for Apache Tomcat upgrades and Java 8 downgrades

Aprilie 1, 2022
Apache Tomcat releases versions 10.0.209.0.62, and 8.5.78 which close the attack vector on Tomcat’s side, see mitigation alternative

Martie 31, 2022
Spring Boot 2.6.6 is available.
Spring Boot 2.5.12 is available.

Surse

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Despre autor

Discuții

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Îți place securitate cibernetică?

Intră în comunitatea Hackout de pe Discord și inițiază discuții cu alți pasionați de cybersecurity. Aici postăm toate informațiile despre evenimente, CTFs, știri, joburi etc.