Parches de Spring filtraron la vulnerabilidad RCE de día cero de Spring4Shell

Spring lanzó actualizaciones de emergencia para corregir la vulnerabilidad de ejecución remota de código de día cero 'Spring4Shell', que se filtró prematuramente en línea antes de que se lanzara un parche.

Ayer, un exploit para una  vulnerabilidad de ejecución remota de código de día cero en Spring Framework  denominado 'Spring4Shell' se publicó brevemente en GitHub y luego se eliminó.

Sin embargo, como nada permanece oculto en Internet, el código se compartió rápidamente en otros repositorios y fue probado por investigadores de seguridad, quienes confirmaron que era un exploit legítimo para una nueva vulnerabilidad.


Hoy, Spring ha publicado un aviso de seguridad que explica que la vulnerabilidad ahora se rastrea como CVE-2022-22965 y afecta a las aplicaciones Spring MVC y Spring WebFlux en JDK 9.

La explotación de la vulnerabilidad también requiere Apache Tomcat, una aplicación empaquetada como WAR, y las dependencias spring-webmvco .spring-webflux

"La vulnerabilidad afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en JDK 9+. El exploit específico requiere que la aplicación se ejecute en Tomcat como una implementación de WAR", se lee en el aviso de Spring .

"Si la aplicación se implementa como un archivo ejecutable de Spring Boot, es decir, el valor predeterminado, no es vulnerable al exploit. Sin embargo, la naturaleza de la vulnerabilidad es más general y puede haber otras formas de explotarla".

Spring dice que odeplutos, meizjm3i de AntGroup FG, les reveló responsablemente la vulnerabilidad el martes, y que habían estado desarrollando y probando una solución que se esperaba que se lanzara hoy.

Sin embargo, después de que un investigador de seguridad publicara los detalles completos en línea el miércoles, impulsaron el lanzamiento del parche antes del lanzamiento planificado.

Las versiones de Spring que corrigen la nueva vulnerabilidad se enumeran a continuación, con todas excepto Spring Boot disponibles en Maven Central:

- Spring Framework 5.3.18 y Spring Framework 5.2.20
- Arranque de primavera 2.5.12
- Spring Boot 2.6.6 (aún no disponible)
Spring Boot 2.6.6 debería lanzarse en las próximas horas.

Si bien la vulnerabilidad tiene requisitos específicos para ser explotada,  Will Dormann , analista de vulnerabilidades de CERT/CC, descubrió que incluso el código de muestra de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta era vulnerable.

Dado que los desarrolladores suelen utilizar código de muestra como plantilla para sus propias aplicaciones, podría haber muchas aplicaciones vulnerables accesibles en línea.

Los administradores de Spring deben priorizar la implementación de estas actualizaciones de seguridad lo antes posible, ya que los escáneres Spring4Shell ya se han creado y hay informes de que la vulnerabilidad ya se está explotando activamente en la naturaleza.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta