Spring4Shell sårbarhet kan ha “en större inverkan” än Log4j

digitateam

En nyligen upptäckt nolldagarssårbarhet känd som Spring4Shell kan ha “en större inverkan” än Log4j.

Log4j har gjort vågor de senaste månaderna då sårbarheten i det populära loggningsbiblioteket med öppen källkod gjorde det möjligt för angripare att bryta sig in i system, stjäla lösenord och inloggningar, extrahera data och infektera nätverk med skadlig programvara.

Men uppmärksamheten flyttas nu till Spring4Shell-utnyttjandet.

spring4shell

Spring4Shell är en noll-dagars fjärrkodexekvering (RCE) sårbarhet i Spring-ramverket som upptäcktes efter att en kinesisk säkerhetsforskare läckte en proof-of-concept (PoC)-exploatering på GitHub.

“I vissa konfigurationer är exploateringen av det här problemet okomplicerat, eftersom det bara kräver att en angripare skickar en skapad HTTP-förfrågan till ett sårbart system,” förklarade Praetorian-säkerhetsforskarna Anthony Weems och Dallas Kaman.

“Men utnyttjande av olika konfigurationer kommer att kräva att angriparen gör ytterligare forskning för att hitta nyttolaster som kommer att vara effektiva.”

Ytterligare detaljer undanhålls av ansvariga säkerhetsforskare för att begränsa den potentiella skadan tills vårens ramverk har korrigerats.

Under tiden rekommenderar Praetorian “att skapa en ControllerAdvice-komponent (som är en fjäderkomponent som delas mellan Controllers) och lägga till farliga mönster till denylist.”

Forskarna är för närvarande splittrade i hur allvarliga verkliga effekterna kan bli.

“Aktuell information tyder på att för att utnyttja sårbarheten måste angripare lokalisera och identifiera webbappsinstanser som faktiskt använder DeserializationUtils, något som utvecklare redan känner till är farligt”, säger Flashpoint i sin analys.

Andra forskare är mer oroliga.

“Contrast Security Labs-teamet har bekräftat en kritisk nolldagarssårbarhet som heter Spring4Shell, som påverkar fjäderkärnartefakten som är ett populärt ramverk som används allmänt i 74 procent av Java-applikationer”, säger David Lindner, CISO på Contrast Security.

“Contrast Labs-teamet har bevisat utnyttjandet på grund av hur en Spring-applikation hanterar bindning, och vi tror att det kan ha en större inverkan än Log4j. Vårt team fortsätter att utforska denna sårbarhet.

“Vi rekommenderar Java-utvecklare att specifikt ställa in egenskapen tillåtna fält eller korrekt ställa in de otillåtna fälten för de kända skadliga attackmönstren inom DataBinder-klassen.”

Istället för att invänta ytterligare analys är det bättre att vara proaktiv för att säkerställa att dina appar och tjänster är skyddade från Spring4Shell-sårbarheten.

Next Post

GTA 5 kommer att finnas tillgänglig den 12 april i fysisk version på PS5 och Xbox Series X

Tillgänglig sedan 15 mars i digital version, GTA 5 kommer att finnas tillgänglig om några dagar, den 12 april i fysisk version på vår PS5 och Xbox Series X. Som en påminnelse, denna nya version av spelet ger en grafisk förbättring av GTA 5, men även till GTA Online som […]

Subscribe US Now