Spring4Shell

CVE-2022-22965 et CVE-2022-22963

Origina a travaillé avec nos experts mondiaux IBM et nos partenaires pour analyser les vulnérabilités critiques CVE-2022-22965 et CVE-2022-22963 (Spring4Shell) afin de déterminer si cette vulnérabilité affecte les produits IBM.

Sur la base de nos enquêtes sur le portefeuille de produits IBM, au moment de la publication de l’article, nous avons identifié Cognos comme le principal produit susceptible d’être affecté par ces vulnérabilités.

Remarque : Il est possible que les utilisateurs introduisent la vulnérabilité via la mise en œuvre d’un code et/ou d’une configuration personnalisés.

COGNOS

Des conseils ont été fournis ci-dessous sur la manière d’étudier la probabilité d’être affecté par ces vulnérabilités et de les atténuer dans Cognos.

Il est fortement recommandé que toutes les mesures d’atténuation présentées ci-dessous soient d’abord testées dans un environnement non prod/test pour s’assurer qu’il n’y a pas d’impact involontaire sur les opérations Cognos prévues avant le déploiement dans votre environnement de production.

Si vous pensez être exposé à ces vulnérabilités et/ou avez besoin d’aide dans la planification ou la conduite des actions d’atténuation, veuillez contacter l’équipe d’assistance d’Origina aux coordonnées ci-dessous :

Si vous êtes un client Origina , veuillez enregistrer un ticket à [email protected] ou via le portail en libre-service .

Si vous n’êtes pas client d’Origina , veuillez appeler un membre de notre équipe commerciale :

Dublin : + 353 (1) 524 0012
Dallas : +1-888-206-4862
Londres : +44 2033 183790

Version(s) de Cognos potentiellement impactée(s) :
Cognos BI version 8xx et Cognos Analytics version 10.0/10.1 incluaient Apache Tomcat en tant que servlet Java intégré et Cognos 10 utilise Java 9 comme configuration « prête à l’emploi ».

NIST (National Institute of Standards and Technology) Description : Une application Spring MVC ou Spring WebFlux exécutée sur JDK 9+ peut être vulnérable à l’exécution de code à distance (RCE) via la liaison de données. L’exploit spécifique nécessite que l’application s’exécute sur Tomcat en tant que déploiement WAR. Si l’application est déployée en tant que jar exécutable Spring Boot, c’est-à-dire la valeur par défaut, elle n’est pas vulnérable à l’exploit. Cependant, la nature de cette vulnérabilité est plus générale et il peut y avoir d’autres façons de l’exploiter.

Comment déterminer si vous êtes vulnérable à CVE-2022-22965 ?

Pour déterminer s’il est probable que vous soyez exposé à ces vulnérabilités, vérifiez d’abord les versions et les configurations utilisées de Cognos déployées dans vos environnements.

Selon Spring , pour exploiter la vulnérabilité, plusieurs conditions préalables sont requises dans l’environnement cible :

  • Kit de développement Java (JDK) 9 ou supérieur et
  • Apache Tomcat comme conteneur de servlet et
  • Conditionné en tant que WAR traditionnel et déployé dans une instance Tomcat autonome. Les déploiements typiques de Spring Boot utilisant un conteneur de servlet intégré ou un serveur Web réactif ne sont pas affectés et
  • Dépendance Spring-webmvc ou spring-webflux et
  • Spring Framework versions 5.3.0 à 5.3.17, 5.2.0 à 5.2.19 et versions antérieures.

Notes complémentaires:

  • La vulnérabilité implique l’accès à ClassLoader, et donc en plus de l’attaque spécifique signalée avec un ClassLoader spécifique à Tomcat, d’autres attaques peuvent être possibles contre un ClassLoader personnalisé différent.
  • Le problème concerne la liaison de données utilisée pour remplir un objet à partir de paramètres de requête (paramètres de requête ou données de formulaire). La liaison de données est utilisée pour les paramètres de méthode de contrôleur qui sont annotés avec @ModelAttribute ou éventuellement sans, et sans aucune autre annotation Spring Web.
  • Les problèmes ne concernent pas les paramètres de la méthode du contrôleur @RequestBody (par exemple, la désérialisation JSON). Cependant, ces méthodes peuvent toujours être vulnérables si elles ont un autre paramètre de méthode rempli via la liaison de données à partir des paramètres de requête.

Pour vérifier si Cognos utilise Java (JDK) 9 ou une version supérieure, appliquez une ou plusieurs des méthodes suivantes :

Méthode 1 – Utilisation de la commande :

Si vous connaissez le répertoire de base Java utilisé, utilisez la commande « java -version » pour trouver la version exacte de Java.

Méthode 2 – À partir de Cognos Configuration :

    1. Ouvrir la configuration de Cognos
    2. Appuyez sur Ctrl+F3
    3. Les informations seront affichées sous l’onglet Propriétés système.


Méthode 3 – À partir des journaux :

    1. Ouvrez le fichier cbs_cnfgtest_run.log sous le répertoire des journaux.
    2. Cela sera présenté sous les entrées : java_vendor, java_version

Options de prévention et d'atténuation proposées par Spring et Apache

  • Spring recommande la mise à jour vers Spring 5.3.18 et 5.2.20 ou supérieur et
  • Apache Tomcat recommande la mise à jour vers les dernières versions publiées 10.0.20, 9.0.62 et 8.5.78 qui ferment le vecteur d’attaque du côté de Tomcat, voir Spring Framework RCE, Mitigation Alternative et
  • Envisagez de mettre à jour votre stratégie de pare-feu d’application Web (WAF) et
  • Envisagez d’effectuer une surveillance améliorée de votre réseau et
  • Envisagez de mettre à jour votre solution SIEM pour vous assurer qu’elle est équipée des derniers indicateurs de compromission (IoC).

Description NIST : dans les versions 3.1.6, 3.2.2 et les versions antérieures non prises en charge de Spring Cloud Function, lors de l’utilisation de la fonctionnalité de routage, il est possible pour un utilisateur de fournir un langage d’expression Spring (SpEL) spécialement conçu en tant qu’expression de routage pouvant entraîner dans l’exécution de code à distance et l’accès aux ressources locales.

Versions Spring Cloud impactées :

  • 3.1.6
  • 3.2.2
  • Les anciennes versions non prises en charge sont également affectées.

Options de prévention et d'atténuation proposées par Spring et Apache

  • La réponse préférée recommandée par Spring est de mettre à jour la dernière version de Spring Cloud Function
    • 3.1.7
    • 3.2.3
  • Envisagez d’effectuer une surveillance renforcée de votre réseau pour tout signe d’activité anormale et
  • Envisagez de mettre à jour votre pare-feu d’application Web (WAF) et
  • Envisagez de mettre à jour votre solution SIEM pour vous assurer qu’elle est équipée des derniers indicateurs de compromission (IoC).

Origina continue d’étudier cette vulnérabilité et son impact potentiel, le cas échéant, sur les produits IBM. Si vous êtes un client actuel d’Origina et que vous avez des préoccupations et/ou des questions particulières concernant l’impact de cette vulnérabilité sur votre implémentation IBM, veuillez contacter Origina à l’adresse [email protected] ou via le portail en libre-service .

Si vous n’êtes pas un client actuel et avez besoin d’assistance, veuillez appeler un membre de notre équipe de vente :

DUBLIN: + 353 (1) 524 0012
DALLAS: +1-888-206-4862
LONDON: +44 2033 183790

ORIGINA SUR LES RÉSEAUX SOCIAUX

Table des Matières

Pour les derniers conseils technologiques Abonnez-vous à notre NEWSLETTER - THE UPTME

Origina Cyber Security

Attendez! N'oubliez pas de vous abonner à notre Newsletter - The Uptime pour les derniers conseils technologiques !