VMware parchea la falla Spring4Shell RCE en múltiples productos

VMware ha publicado actualizaciones de seguridad para la vulnerabilidad crítica de ejecución remota de código conocida como Spring4Shell, que afecta a varios de sus productos de virtualización y computación en la nube.

Una lista de productos de VMware afectados por Spring4Shell está disponible en un aviso de la empresa. Cuando no hay una solución disponible, VMware lanzó una solución temporal.

En este momento, es sumamente importante seguir los consejos proporcionados en el boletín de seguridad, ya que Spring4Shell es una vulnerabilidad que se explota activamente.

Un defecto en un marco popular

Spring4Shell, rastreado oficialmente como CVE-2022-22965, es una vulnerabilidad de ejecución remota de código en el marco Spring Core Java que se puede explotar sin autenticación, con una puntuación de gravedad de 9,8 sobre 10.

Esto significa que cualquier actor malicioso con acceso a aplicaciones vulnerables puede ejecutar comandos arbitrarios y tomar el control completo de un sistema de destino.

Debido a la implementación generalizada de Spring Framework para el desarrollo de aplicaciones Java, los analistas de seguridad temen ataques a gran escala que se aprovechan de la vulnerabilidad Spring4Shell.

Para empeorar las cosas, se filtró un exploit de prueba de concepto (PoC) funcional en GitHub incluso antes de que estuviera disponible una actualización de seguridad, lo que aumenta las posibilidades de explotación maliciosa y ataques "sorpresa".

Impacto y remediación

La falla crítica afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en JDK 9+. El exploit requiere que la aplicación se ejecute en Tomcat como una implementación de WAR, aunque las limitaciones exactas aún están bajo investigación.

Las versiones fijas de las aplicaciones son:

- Spring Framework 5.3.18 y Spring Framework 5.2.20
- Arranque de primavera 2.5.12
- Spring Boot 2.6.6 (próximamente disponible)

VMWare revisó su cartera de productos y, aunque la investigación aún continúa, los siguientes productos ya se han determinado como afectados :

- Servicio de aplicación VMware Tanzu para máquinas virtuales: versiones 2.10 a 2.13
- VMware Tanzu Operations Manager: versiones 2.8 a 2.9
- VMware Tanzu Kubernetes Grid Integrated Edition (TKGI): versiones 1.11 a 1.13

El proveedor ya ha puesto a disposición actualizaciones de seguridad para los dos primeros productos, cubriendo ramas de múltiples versiones con lanzamientos puntuales, pero aún se está trabajando en una solución permanente para VMware Tanzu Kubernetes Grid Integrated Edition.

Para estas implementaciones, VMWare ha publicado instrucciones de solución  diseñadas para ayudar a los administradores a proteger temporalmente sus sistemas hasta que se publiquen los parches.

Una cosa a tener en cuenta es que VMWare descubrió que la explotación de Spring4Shell es compleja en TKGI, por lo que se brindan los consejos de mitigación y la próxima actualización de seguridad para brindar la máxima confianza al cliente y evitar falsos positivos.

Aún así, las recomendaciones de seguridad oficiales proporcionadas deben seguirse sin desviaciones ni demoras, para garantizar que sus implementaciones estén a salvo de los actores de amenazas oportunistas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta