L'ANALISI TECNICA

Spring4Shell, la nuova minaccia per le web app Enterprise: ecco come mitigarla

Scoperte a distanza di pochi giorni, due vulnerabilità sul framework Spring mettono in pericolo i server VMware che lo ospitano e le web app Enterprise. Si possono mitigare ed è opportuno farlo subito perché è già disponibile l’exploit: Spring4Shell, un nome che evoca la temibile Log4Shell. Facciamo chiarezza

01 Apr 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Sono state scoperte due vulnerabilità di code injection nella piattaforma VMware Spring, dall’impatto grave. In particolare, la vulnerabilità zero-day relativa al Core del framework Spring ha già un exploit denominato Spring4Shell, un nome che evoca la temibile Log4Shell, la vulnerabilità che ha minacciato mezza Internet.

Ci vuole una regia pubblica per fronteggiare la minaccia cibernetica e Log4j ce lo insegna

Una vulnerabilità su Spring Cloud

Il 28 marzo, la società di sicurezza delle informazioni NSFOCUS ha rilasciato un avviso di sicurezza che delinea una vulnerabilità della funzione Spring Cloud che consente agli aggressori di “fornire uno Spring Expression Language (SpEL) appositamente predisposto come espressione di routing che potrebbe comportare l’accesso alle risorse locali”.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

I ricercatori hanno rivelato che questa vulnerabilità della funzione Spring Cloud, a cui è stato assegnato il numero CVE-2022-22963 è classificata con gravità media.

Quale prodotto è interessato dalla vulnerabilità

VMware Spring Cloud è un insieme di progetti open source per sviluppatori che vanno dal rilevamento dei servizi alla gestione della configurazione per sistemi distribuiti basati su Spring.

Spring Cloud Function, in particolare, è un progetto che astrae tutti gli elementi di trasporto e infrastruttura, consentendo agli sviluppatori di concentrarsi sulla creazione di applicazioni basate sulla logica aziendale. Il progetto Spring Cloud è presente anche su GitHub.

La vulnerabilità Spring Cloud in dettaglio

Secondo NSFOCUS, è il parametro spring.cloud.function.routing-expression nell’intestazione della richiesta al web server che attiva la vulnerabilità. Quando viene utilizzato il routing, questo parametro viene considerato come un’espressione SpEL. Le espressioni possono essere iniettate con Expression Language (EL) se non sono adeguatamente salvaguardate.

Alla luce di questo, gli aggressori potrebbero quindi essere in grado di accedere a materiale lato server, interferire con la funzionalità, dirottare gli account utente e altro, a seconda della gravità dell’iniezione di EL.

Azioni di mitigazione

Tra le versioni di Spring Cloud Function interessate ci sono la 3.1.6, 3.2.2 e le precedenti. L’azione di mitigazione è facilmente risolvibile: gli utenti devono urgentemente aggiornare alle versioni Spring Cloud Function 3.1.7 o 3.2.3 per evitare problemi di sicurezza dagli impatti, come descritto, gravi.

A seconda del ramo applicativo utilizzato, dunque, è sufficiente aggiornare o l’una o l’altra versione entrambe contenenti la correzione al problema di injection.

La seconda vulnerabilità sul Core e Spring4Shell

Tracciata come CVE-2022-22965 la vulnerabilità più grave si trova nel Spring Framework e sembra essere stata scoperta il 29 marzo. Questa seconda CVE che non interviene in Spring Cloud, ma direttamente nel Core, può portare all’esecuzione di codice in modalità remota, quindi potrebbe anche essere un vettore per gli aggressori per impiantare malware sui server senza patch.

Cos’è Spring4Shell

Per chiarezza, è doveroso precisare che Spring4Shell è un nome di fantasia, recentemente attribuito da utenti online che si sono occupati dello sfruttamento della vulnerabilità su Spring Framework, predisponendo un apposito exploit.

Il nome è stato scelto, presumibilmente, per riprendere la narrativa dell’ormai noto Log4Shell che ha catturato l’attenzione di gran parte del monto IT pochi mesi fa. Ad ogni modo, le due vicende non hanno niente a che fare tra di loro, né tanto meno i due prodotti coinvolti.

Infatti, il 29 marzo sono stati pubblicati una serie di tweet (ora cancellati) da un account Twitter cinese che mostrava gli screenshot di un nuovo exploit PoC zero-day nella popolare libreria Java Spring Core. Grazie a questo exploit, si rende sfruttabile attivamente dunque questa pericolosa seconda vulnerabilità.

Aggiornare per mitigare il rischio da Spring4Shell

Dal punto di vista tecnico, è confermata essere affetta da vulnerabilità la versione di Spring Core 5.3.17 e precedenti.

Anche in questo caso, la buona notizia è che esiste una mitigazione ufficiale, data dall’aggiornamento già disponibile: in questo caso, portando Spring Framework alla versione 5.2.20 o 5.3.18, in base al ramo di utilizzo in cui ci si trova.

Dunque, anche questa seconda vulnerabilità è stata corretta: il problema importante ora rimane quello di assicurarsi che tutti vengano a conoscenza di questa vulnerabilità e del rispettivo zero-day di sfruttamento, in modo da poter applicare quanto più tempestivamente possibile il proprio aggiornamento.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5