Spring4Shell
CVE-2022-22965
Gravité critique
Au moment de la publication de cet article, Origina travaille avec nos experts mondiaux d’IBM et nos partenaires pour analyser la vulnérabilité CVE-2022-22965 (Spring4Shell) afin de déterminer si cette vulnérabilité a un impact sur les produits IBM, qui, à notre connaissance, n’a pas encore été divulguée par IBM.
CVE-2022-22965
NIST (National Institute of Standards and Technology) Description : Une application Spring MVC ou Spring WebFlux exécutée sur JDK 9+ peut être vulnérable à l’exécution de code à distance (RCE) via la liaison de données. L’exploit spécifique nécessite que l’application s’exécute sur Tomcat en tant que déploiement WAR. Si l’application est déployée en tant que jar exécutable Spring Boot, c’est-à-dire la valeur par défaut, elle n’est pas vulnérable à l’exploit. Cependant, la nature de cette vulnérabilité est plus générale et il peut y avoir d’autres façons de l’exploiter.
Comment déterminer si vous êtes vulnérable à CVE-2022-22965 ?
Selon Spring, pour exploiter la vulnérabilité, la cible doit disposer de certaines conditions préalables :
Java Development Kit (JDK) 9 ou supérieur et
Apache Tomcat comme conteneur de servlets et
Conditionné en tant que WAR traditionnel et déployé dans une instance Tomcat autonome. Les déploiements typiques de Spring Boot qui utilisent un conteneur de servlets intégré ou un serveur web réactif ne sont pas touchés.
Dépendance Spring-webmvc ou spring-webflux et
Spring Framework versions 5.3.0 à 5.3.17, 5.2.0 à 5.2.19 et versions antérieures.
Notes supplémentaires :
La vulnérabilité implique l’accès à ClassLoader, et donc en plus de l’attaque spécifique signalée avec un ClassLoader spécifique à Tomcat, d’autres attaques peuvent être possibles contre un ClassLoader personnalisé différent.
Le problème concerne la liaison de données utilisée pour remplir un objet à partir de paramètres de requête (paramètres de requête ou données de formulaire). La liaison de données est utilisée pour les paramètres de méthode de contrôleur qui sont annotés avec @ModelAttribute ou éventuellement sans, et sans aucune autre annotation Spring Web.
Les problèmes ne concernent pas les paramètres de la méthode du contrôleur @RequestBody (par exemple, la désérialisation JSON). Cependant, ces méthodes peuvent toujours être vulnérables si elles ont un autre paramètre de méthode rempli via la liaison de données à partir des paramètres de requête.
Options de prévention et d’atténuation proposées par Spring et Apache
La solution recommandée par Spring est de mettre à jour vers Spring 5.3.18 et 5.2.20 ou plus.
Apache Tomcat a publié les versions 10.0.20, 9.0.62 et 8.5.78 qui ferment le vecteur d’attaque du côté de Tomcat, voir Spring Framework RCE, Mitigation Alternative.
Envisager de mettre à jour votre politique de pare-feu d’application Web (WAF) pour bloquer l’exploit actuel
Considérant Effectuer une surveillance renforcée de votre réseau qui répond aux critères préalables (ci-dessus).
Pensez à mettre à jour votre solution SIEM avec les derniers indicateurs de compromission (IoC) au fur et à mesure qu’ils sont développés.
Origina continue d’étudier cette vulnérabilité et son impact potentiel, le cas échéant, sur les produits IBM. Si vous êtes un client actuel d’Origina et que vous avez des préoccupations et/ou des questions particulières concernant l’impact de cette vulnérabilité sur votre implémentation IBM, veuillez contacter Origina à l’adresse [email protected] ou via le portail en libre-service .
Si vous n’êtes pas un client actuel et avez besoin d’assistance, veuillez appeler un membre de notre équipe de vente :
DUBLIN: + 353 (1) 524 0012
DALLAS: +1-888-206-4862
LONDON: +44 2033 183790
