Menjelaskan Spring4Shell: Bencana keselamatan Internet yang tidak berlaku

Imej Getty

Gembar gembar-gembur dan hiperbola telah dipamerkan sepenuhnya minggu ini apabila dunia keselamatan bertindak balas terhadap laporan Log4Shell yang lain. Kerentanan itu diketahui pada bulan Disember dan boleh dikatakan salah satu daripadanya ancaman Internet yang paling teruk dalam tahun. Christened Spring4Shell—pepijat pelaksanaan kod baharu dalam rangka kerja Spring Java yang digunakan secara meluas—dengan pantas membakar dunia keselamatan apabila penyelidik bergegas untuk menilai tahap keterukannya.

Salah satu daripada jawatan pertama untuk melaporkan kecacatan itu ialah laman berita teknologi Cyber ​​Kendra, yang memberi amaran tentang kerosakan teruk yang mungkin disebabkan oleh kecacatan itu kepada “berton-ton aplikasi” dan “boleh merosakkan Internet.” Hampir serta-merta, syarikat keselamatan, kebanyakannya menolak minyak ular, jatuh ke seluruh badan mereka untuk memberi amaran tentang bahaya yang akan kita hadapi. Dan semua itu sebelum sebutan atau nasihat pengesanan kerentanan daripada penyelenggara Spring tersedia.

Semua di atas kapal

Kereta api gembar-gembur itu bermula pada hari Rabu selepas seorang penyelidik menerbitkan eksploitasi bukti-konsep yang boleh memasang dari jauh pintu belakang kawalan jauh berasaskan web yang dikenali sebagai cangkerang web pada sistem yang terdedah. Orang ramai amat bimbang kerana kerentanan itu sangat mudah untuk dieksploitasi dan berada dalam rangka kerja yang menggerakkan sejumlah besar tapak web dan apl.

Kerentanan itu terdapat dalam dua produk Spring: Spring MVC dan Spring WebFlux, yang membolehkan pembangun menulis dan menguji apl. Kecacatan itu terhasil daripada perubahan yang diperkenalkan dalam JDK9 yang membangkitkan kerentanan sedekad yang dikesan sebagai CVE-2010-1622. Memandangkan banyak sistem yang menggabungkan rangka kerja Spring dan JDK9 atau yang lebih baru, tidak hairanlah orang ramai bimbang, terutamanya kerana kod eksploitasi sudah ada di alam liar (pembocor awal dengan cepat menurunkan PoC, tetapi pada masa itu sudah terlambat.)

Pada hari Khamis, kecacatan itu akhirnya menerima penamaan CVE-2022-22965. Pembela keselamatan juga mendapat penerangan yang lebih bernuansa tentang ancaman yang ditimbulkannya. Kod yang bocor, Penyelenggara musim bunga berkatadijalankan hanya apabila apl yang dibangunkan Spring berjalan di atas Apache Tomcat dan kemudian hanya apabila apl itu digunakan sebagai jenis fail yang dikenali sebagai PERANGsingkatan untuk arkib web.

“Jika aplikasi digunakan sebagai balang boleh laku Spring Boot, iaitu lalai, ia tidak terdedah kepada eksploitasi,” tulis penyelenggara Spring. “Walau bagaimanapun, sifat kelemahan adalah lebih umum, dan mungkin terdapat cara lain untuk mengeksploitasinya.”

Walaupun siaran itu membuka kemungkinan bahawa eksploitasi PoC boleh dipertingkatkan untuk berfungsi terhadap konfigurasi lain, tiada siapa yang telah menemui variasi yang melakukannya, sekurang-kurangnya buat masa ini.

“Ia adalah perkara yang perlu diperbaiki oleh pembangun, jika mereka menggunakan versi yang terjejas,” kata Will Dormann, penganalisis kelemahan di CERT, dalam mesej peribadi. “Tetapi kami masih dalam keadaan tidak mengetahui satu pun aplikasi di luar sana yang boleh dieksploitasi.”

Di Twitter, Dormann mengambil tindakan Cyber ​​Kendra.

“Cara Cyber ​​Kendra memburukkan semua orang,” katanya menulis. “1) Catatan blog sensasi yang menunjukkan bahawa ini akan merosakkan internet (bendera merah!) 2) Memautkan kepada komitmen git tentang penyahserikatan yang sama sekali tidak ada kaitan dengan isu yang ditunjukkan oleh pihak asal.”

Wakil Cyber ​​Kendra tidak membalas e-mel yang meminta komen. Sejujurnya, berita tentang merosakkan internet kemudiannya disentuh.

SpringShell, bukan Spring4Shell

Malangnya, walaupun terdapat konsensus bahawa, sekurang-kurangnya buat masa ini, kelemahan itu tidak menimbulkan apa-apa berhampiran ancaman Log4Shell, nama Spring4Shell sebahagian besarnya telah tersekat. Itu mungkin akan mengelirukan sesetengah orang tentang keterukannya. Melangkah ke hadapan, Ars akan merujuknya dengan nama yang lebih sesuai, SpringShell.

Beberapa penyelidik mengatakan mereka telah mengesan imbasan di alam liar yang menggunakan CVE-2022-22965 PoC yang bocor atau eksploitasi yang sangat mirip dengannya. Bukan perkara luar biasa bagi penyelidik untuk menguji pelayan secara jinak untuk memahami betapa berleluasanya kerentanan baharu. Sedikit lebih membimbangkan ialah a laporan pada hari Jumaat di mana penyelidik dari Netlab 360 mengatakan varian Mirai—perisian hasad yang boleh memusnahkan beribu-ribu peranti IoT dan menghasilkan serangan penafian perkhidmatan yang melumpuhkan—”telah memenangi perlumbaan sebagai botnet pertama yang menggunakan kelemahan ini.”

Untuk menjadikan perkara lebih mengelirukan, kelemahan pelaksanaan kod yang berasingan muncul minggu lepas yang menjejaskan Fungsi Awan Musim Bunga, yang membolehkan pembangun mengasingkan logik perniagaan dalam apl dengan mudah daripada masa jalan tertentu. Cacat, yang dijejaki sebagai CVE-2022-22963, terdapat dalam Bahasa Ekspresi Spring, biasanya dikenali sebagai SpEL.

Kedua-dua kelemahan berpotensi serius dan tidak boleh diabaikan. Ini bermakna mengemas kini Rangka Kerja Spring kepada 5.3.18 atau 5.2.20, dan daripada banyak berhati-hati juga menaik taraf kepada Tomcat 10.0.20, 9.0.62 atau 8.5.78. Mereka yang menggunakan Fungsi Awan Musim Bunga harus mengemas kini sama ada 3.1.7 atau 3.2.3.

Bagi orang yang tidak pasti sama ada apl mereka terdedah kepada CVE-2022-22965, penyelidik di firma keselamatan Randori telah mengeluarkan ringkasan, skrip tidak berniat jahat itu boleh buat begitu sahaja.

Jadi dengan segala cara, uji dan tampal seperti tiada hari esok, tetapi jangan percaya gembar-gembur itu.



We wish to say thanks to the author of this post for this incredible material

Menjelaskan Spring4Shell: Bencana keselamatan Internet yang tidak berlaku


You can view our social media profiles here as well as other pages related to them here.https://paw6.info/related-pages/