Spring4Shell er en svært alvorlig sårbarhet i det mye brukte Java-rammeverket Spring, som utgis som åpen kildekode av VMware.
Detaljer om sårbarheten (CVE-2022-22965) ble offentliggjort den 31. mars, og nettopp fordi Spring brukes i så mange ulike applikasjoner og sammenhenger, blir sårbarheten sammenlignet med Log4Shell, én av flere alvorlige sårbarheter i loggbiblioteket Log4j.
Log4Shell ble offentlig kjent i desember i fjor.
16 prosent kan ha opplevd angrepsforsøk
I en rapport om de fire første dagene etter at Spring4Shell ble kjent, opplyser sikkerhetsselskapet Check Point at det har registrert rundt 37.000 forsøk på å utnytte sårbarheten. Basert på dette mener selskapet at 16 prosent av verdens virksomheter har blitt berørt av forsøkene. Det sies ingenting om noen av forsøkene har vært vellykkede.
Den mest utsatte sektoren skal ifølge Check Point være programvareleverandører. 28 prosent av angrepsforsøkene skal være rettet mot slike virksomheter. Europa er den mest berørte regionen. 20 prosent av angrepsforsøkene har blitt rettet mot virksomheter i Europa.
Også Microsoft har registrert angrepsforsøk mot selskapets egne nettskytjenester for Spring, men melder om lavt volum. Sårbarheten åpner for fjernkjøring av vilkårlig kode.
Sikkerhetsoppdateringer er tilgjengelige
Spring4Shell-sårbarheten eksisterer altså i Spring Framework. VMware ble varslet om sårbarheten, som finnes i både 5.3.x. 5.2.x og eldre serier, den 29. mars. To dager senere var sårbarheten ble fjernet med versjonene 5.3.18 og 5.2.20. Det er også gitt ut nye versjoner av Spring Boot som avhenger av Spring Framework 5.3.18.
Millioner av PCer har amatørfeil som gjør dem sårbare
Sårbarheten kan bare utnyttes i nokså spesifikke oppsett. Det er kun Spring MVC- og Spring WebFlux-applikasjoner som er berørt, og bare når de kjøres på JDK 9 eller nyere. I alle fall den spesifikke utnyttelsen som så langt er kjent, krever at applikasjonen kjøres på webserveren Apache Tomcat fra en WAR-fil (Web Archive). Men det kan bli funnet nye måter å utnytte sårbarheten på.
Apache har derfor kommet med oppdateringer (versjonene 10.0.20, 9.0.62 og 8.5.78) til Tomcat som skal lukke den aktuelle angrepsvektoren.
Alternative, avbøtende tiltak
Brukere som ikke kan oppdatere til de nyeste versjonene av Spring Framework kan dermed velge å oppdatere Tomcat eller nedgradere til Java 8. Det det er også mulig å forhindre utnyttelse av sårbarheten ved hjelp av en mindre konfigurasjonsendring knyttet til binding av felter. Dette er beskrevet på denne siden.
Ifølge Microsoft kan følgende kommando brukes til å avgjøre om et system er sårbart. Kommandoen skal i seg selv ikke gjøre noe skade:
curl host:port/path?class.module.classLoader.URLs%5B0%5D=0
Dersom verten svarer med en HTTP 400-respons, bør systemet anses som sårbart.
Utvider tilbudet: Nå har Chat GPT fått sin egen Windows-app
