01/04/22
Уязвимость в популярном фреймворке Spring для разработки web-приложений на Java потенциально ставит множество web-приложений под угрозу удаленных кибератак.
Уязвимость, получившая название Spring4Shell и SpringShell, вызвала огромный ажиотаж среди ИБ-экспертов за последние 24 часа. В частности, исследователи безопасности пытались выяснить, является ли проблема новой, или проистекает из более старой уязвимости.
По данным специалистов из Praetorian и Flashpoint , уязвимость новая, и проэксплуатировать ее можно удаленно, если приложение Spring развернуто на сервере Apache Tomcat с распространенной конфигурацией. Для эксплуатации уязвимости атакующему необходимо установить местоположение и идентифицировать установки web-приложения, использующие DeserializationUtils. Уязвимость не затрагивает приложения Spring, использующие Spring Boot и встроенный Tomcat.
Для Spring4Shell (идентификатор CVE ей еще не присвоен), вероятно, потребуется широкое обновление, чтобы гарантировать безопасность установок, пояснил старший технический директор Praetorian Ричард Форд (Richard Ford).
По словам Форда, проэксплуатировать уязвимость очень просто, и пользователям необходимо будет как можно скорее установить обновления, над которыми Spring уже работает. По данным специалистов Flashpoint, обсуждение уязвимости в киберпреступном сообществе пока не ведется.
ИБ-эксперты впервые узнали об уязвимости, когда один из китайских исследователей опубликовал твит со скриншотом PoC-атаки. Однако вскоре твит был удален, очевидно потому, что в Китае публикация информации об уязвимостях без разрешения правительства является преступлением. На VX-Underground сведения о Spring4Shell появились в середине дня 30 марта.
Получив доступ к скриншотам, ИБ-эксперты всего за несколько часов смогли осуществить реверс-инжиниринг эксплоита и воспроизвести атаку.
