O vulnerabilitate de tip zero-day este o vulnerabilitate a unui sistem informatic, necunoscută de către producător și, implicit, de echipele de securitate cibernetică defensivă.
Internetul a explodat la sfârșitul lunii martie din cauza unei noi vulnerabilități de tip Zero-Day denumită ,,Spring4Shell” – CVE-2022-22965. Vulnerabilitatea afectează unul dintre cele mai cunoscute și folosite framework-uri open-source de Java: Spring MVC și Spring Webflux; cele care rulează pe JDK versiunea 9 sau mai noi;
Vulnerabilitatea Spring4Shell permite atacatorului să execute comenzi direct și fără restricții pe terminalul țintit de către acesta (RCE).
Această vulnerabilitate a fost marcată ca având un risc ridicat din cauza faptului că nu exista patch-uri la momentul publicarii sale, iar exploatarea ei se poate face cu ușurinta.
Pe de alta parte, un aspect pozitiv care împiedică această vulnerabilitate să creeze un haos este faptul că Spring4Shell apare doar pe serverele Tomcat care rulează fișiere de tip WAR , o practică destul de învechită și utilizată doar în cazul proiectelor de dimensiuni reduse.
Update-uri și recomandări:
Aprilie 1, 2022
Updated Workarounds section for Apache Tomcat upgrades and Java 8 downgrades
Aprilie 1, 2022
Apache Tomcat releases versions 10.0.20, 9.0.62, and 8.5.78 which close the attack vector on Tomcat’s side, see mitigation alternative
Martie 31, 2022
Spring Boot 2.6.6 is available.
Spring Boot 2.5.12 is available.
Surse
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
- https://www.whitesourcesoftware.com/resources/blog/spring4shell-vulnerability/
- https://snyk.io/blog/spring4shell-zero-day-rce-spring-framework-explained/
- https://arstechnica.com/information-technology/2022/04/explaining-spring4shell-the-internet-security-disaster-that-wasnt/