Mise à jour de la vulnérabilité de Spring4Shell – 6 avril 2022

Spring4Shell

CVE-2022-22965

Gravité critique

Au moment de la publication de cet article, Origina travaille avec nos experts mondiaux d’IBM et nos partenaires pour analyser la vulnérabilité CVE-2022-22965 (Spring4Shell) afin de déterminer si cette vulnérabilité a un impact sur les produits IBM, qui, à notre connaissance, n’a pas encore été divulguée par IBM.

CVE-2022-22965

NIST (National Institute of Standards and Technology) Description : Une application Spring MVC ou Spring WebFlux exécutée sur JDK 9+ peut être vulnérable à l’exécution de code à distance (RCE) via la liaison de données. L’exploit spécifique nécessite que l’application s’exécute sur Tomcat en tant que déploiement WAR. Si l’application est déployée en tant que jar exécutable Spring Boot, c’est-à-dire la valeur par défaut, elle n’est pas vulnérable à l’exploit. Cependant, la nature de cette vulnérabilité est plus générale et il peut y avoir d’autres façons de l’exploiter.

Comment déterminer si vous êtes vulnérable à CVE-2022-22965 ?

Selon Spring, pour exploiter la vulnérabilité, la cible doit disposer de certaines conditions préalables :

Java Development Kit (JDK) 9 ou supérieur et

Apache Tomcat comme conteneur de servlets et

Conditionné en tant que WAR traditionnel et déployé dans une instance Tomcat autonome. Les déploiements typiques de Spring Boot qui utilisent un conteneur de servlets intégré ou un serveur web réactif ne sont pas touchés.

Dépendance Spring-webmvc ou spring-webflux et

Spring Framework versions 5.3.0 à 5.3.17, 5.2.0 à 5.2.19 et versions antérieures.

Notes supplémentaires :

La vulnérabilité implique l’accès à ClassLoader, et donc en plus de l’attaque spécifique signalée avec un ClassLoader spécifique à Tomcat, d’autres attaques peuvent être possibles contre un ClassLoader personnalisé différent.

Le problème concerne la liaison de données utilisée pour remplir un objet à partir de paramètres de requête (paramètres de requête ou données de formulaire). La liaison de données est utilisée pour les paramètres de méthode de contrôleur qui sont annotés avec @ModelAttribute ou éventuellement sans, et sans aucune autre annotation Spring Web.

Les problèmes ne concernent pas les paramètres de la méthode du contrôleur @RequestBody (par exemple, la désérialisation JSON). Cependant, ces méthodes peuvent toujours être vulnérables si elles ont un autre paramètre de méthode rempli via la liaison de données à partir des paramètres de requête.

Options de prévention et d’atténuation proposées par Spring et Apache

La solution recommandée par Spring est de mettre à jour vers Spring 5.3.18 et 5.2.20 ou plus.

Apache Tomcat a publié les versions 10.0.20, 9.0.62 et 8.5.78 qui ferment le vecteur d’attaque du côté de Tomcat, voir Spring Framework RCE, Mitigation Alternative.

Envisager de mettre à jour votre politique de pare-feu d’application Web (WAF) pour bloquer l’exploit actuel

Considérant Effectuer une surveillance renforcée de votre réseau qui répond aux critères préalables (ci-dessus).

Pensez à mettre à jour votre solution SIEM avec les derniers indicateurs de compromission (IoC) au fur et à mesure qu’ils sont développés.

Origina continue d’étudier cette vulnérabilité et son impact potentiel, le cas échéant, sur les produits IBM. Si vous êtes un client actuel d’Origina et que vous avez des préoccupations et/ou des questions particulières concernant l’impact de cette vulnérabilité sur votre implémentation IBM, veuillez contacter Origina à l’adresse [email protected] ou via le portail en libre-service .

Si vous n’êtes pas un client actuel et avez besoin d’assistance, veuillez appeler un membre de notre équipe de vente :

DUBLIN: + 353 (1) 524 0012
DALLAS: +1-888-206-4862
LONDON: +44 2033 183790

SAUTER À :

Don’t look at Z mainframes as just technical debt. Optimizing these workhorse systems can result in better software support and extended value.

Origina is known for our concierge service approach for legacy IBM software. Read more about what our CSMs and GIEs can do for your company and its tech estate.

Pour les derniers conseils technologiques Abonnez-vous à notre newsletter- THE UPTIME

Découvrez les actualités du secteur, accédez à des webinaires, des conseils et des astuces, des articles de blog, des podcasts et des guides sur des sujets tels que la cybersécurité, la réduction des coûts de support et de maintenance des logiciels et bien plus encore, le tout livré dans votre boîte de réception chaque mois.

Inscrivez-vous à la newsletter d'Origina

Attendez! N'oubliez pas de vous abonner à notre Newsletter - The Uptime pour les derniers conseils technologiques !