En nyligen upptäckt nolldagarssårbarhet känd som Spring4Shell kan ha “en större inverkan” än Log4j.
Log4j har gjort vågor de senaste månaderna då sårbarheten i det populära loggningsbiblioteket med öppen källkod gjorde det möjligt för angripare att bryta sig in i system, stjäla lösenord och inloggningar, extrahera data och infektera nätverk med skadlig programvara.
Men uppmärksamheten flyttas nu till Spring4Shell-utnyttjandet.
spring4shell
Spring4Shell är en noll-dagars fjärrkodexekvering (RCE) sårbarhet i Spring-ramverket som upptäcktes efter att en kinesisk säkerhetsforskare läckte en proof-of-concept (PoC)-exploatering på GitHub.
En Java Springcore RCE 0day exploit har läckt ut. Den läcktes av en kinesisk säkerhetsforskare som sedan de delade och/eller läckte den har raderat sitt Twitterkonto.
Vi har inte verifierat utnyttjandet.
tl;dr stor om sant
Ladda ner 0day POC här: https://t.co/SgPCdI00TS
— vx-underground (@vxunderground) 30 mars 2022
“I vissa konfigurationer är exploateringen av det här problemet okomplicerat, eftersom det bara kräver att en angripare skickar en skapad HTTP-förfrågan till ett sårbart system,” förklarade Praetorian-säkerhetsforskarna Anthony Weems och Dallas Kaman.
“Men utnyttjande av olika konfigurationer kommer att kräva att angriparen gör ytterligare forskning för att hitta nyttolaster som kommer att vara effektiva.”
Ytterligare detaljer undanhålls av ansvariga säkerhetsforskare för att begränsa den potentiella skadan tills vårens ramverk har korrigerats.
Under tiden rekommenderar Praetorian “att skapa en ControllerAdvice-komponent (som är en fjäderkomponent som delas mellan Controllers) och lägga till farliga mönster till denylist.”
Forskarna är för närvarande splittrade i hur allvarliga verkliga effekterna kan bli.
“Aktuell information tyder på att för att utnyttja sårbarheten måste angripare lokalisera och identifiera webbappsinstanser som faktiskt använder DeserializationUtils, något som utvecklare redan känner till är farligt”, säger Flashpoint i sin analys.
Andra forskare är mer oroliga.
“Contrast Security Labs-teamet har bekräftat en kritisk nolldagarssårbarhet som heter Spring4Shell, som påverkar fjäderkärnartefakten som är ett populärt ramverk som används allmänt i 74 procent av Java-applikationer”, säger David Lindner, CISO på Contrast Security.
“Contrast Labs-teamet har bevisat utnyttjandet på grund av hur en Spring-applikation hanterar bindning, och vi tror att det kan ha en större inverkan än Log4j. Vårt team fortsätter att utforska denna sårbarhet.
“Vi rekommenderar Java-utvecklare att specifikt ställa in egenskapen tillåtna fält eller korrekt ställa in de otillåtna fälten för de kända skadliga attackmönstren inom DataBinder-klassen.”
Istället för att invänta ytterligare analys är det bättre att vara proaktiv för att säkerställa att dina appar och tjänster är skyddade från Spring4Shell-sårbarheten.
