Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework

08 aprile 2022
Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework

E' stata individuata una vulnerabilità 0-day di esecuzione di codice da remoto e classificata come critica: denominata Spring4Shell, tecnicamente CVE-2022-22965, è presente nelle versioni del framework Java Spring dalla 5.3.0 alla 5.3.17 e dalla 5.2.0 alla 5.2.19 e precedenti.

Spring è un framework open source molto popolare per costruire web application in Java per ambienti aziendali. Gli exploit già pubblicamente disponibili, vista l'ampia diffusione di questo framework, rendono la vulnerabilità molto pericolosa.

Perchè la vulnerabilità CVE-2022-22965 - Spring4Shell è così pericolosa?

Le applicazioni Spring Framework SpringMVC o Spring WebFlux in esecuzione su JDK 9 o versioni successive sono soggette ad esecuzione di codice remoto tramite Data Binding. La vulnerabilità è dovuta ad una impropria gestione delle proprietà della classe Java, che può condurre ad una class injection. Allo stesso tempo, l'input bidning HTTP e una richiesta HTTP appositamente prodotta potrebbero condurre ad un attacco di esecuzione di codice da remoto e compromettere le applicazioni Java prodotte in Spring senza richiedere l'autenticazione del traffico. Stando all'avviso del vendor:

"se l'applicazione è distribuita come un eseguibile jar Spring Boot, cioè l'impostazione predefinita, non sarà vulnerabile all'exploit. Tuttavia, la natura di questa vulnerabilità è più generale e potrebbero esserci anche altre vie per sfruttarla".

Software e versioni vulnerabili

JDK 9 o successivi;
Apache Tomcat come Servlet Container;
Formato del file WAR (Web Application Resource) invece del JAR da impostazione predefinita;
dependency da Spring-webmvc o Spring-webflux;
Spring Framework nelle versioni dalla 5.3.0 alla 5.3.17 e dalla 5.2.0 alla 5.2.19 e precedenti.

Mitigazioni per Spring4Shell

Aggiornare immediatamente a Spring Framework 5.3.18 e 5.2.20 o versioni successive;
riferire all'advisory del vendor;
aggiornare le soluzioni di sicurezza della rete e degli endpoint alle definizioni più recenti.

La CVE-2022-22963 è stata individuata anche nella funzione Spring Cloud, versioni 3.1.6, 3.2.2 e funzionalità di routing precedenti. Gli attaccanti possono sfruttarla inviando un'espressione di routing SpEL approntata appositamente. Le versioni riguardate dovrebbero essere aggiornate alla 3.17 e alla 3.2.3.

La copertura di Seqrite per Spring4Shell

Abbiamo rilasciato regole IPS per individuare e boccare attacchi remoti che tentino di sfruttare Spring4Shell e altre vulnerabilità. Continueremo a monitorare lo sviluppo e l'andamento della probelematica e ad aggiornare i nostri sistemi di individuazione. Consigliamo a tutti i clienti di patchare i propri sistemi in tempo e di mantere il software antivirus aggiornato al più recente Database dei Virus VDB.

Ultime news

Per saperne di più

Sistemi legacy: le aziende possono ancora permettersi di ignorare i cyber rischi?

15 maggio 2023

I cosiddetti "Legacy Systems" come i mainframe, possono essere considerati strumenti superati per gli standard odierni, eppure con...

Per saperne di più

Minacce invisibili in agguato: proteggi la tua PMI con la giusta strategia di sicurezza informatica

27 aprile 2023

La pandemia ha accelerato la trasformazione digitale, rendendo tecnologia e dati asset fondamentali per la maggior parte delle azi...

Per saperne di più

Ransomware: Lockbit la catena di attacco e le attività anti-forensi

10 aprile 2023

Da quando il famigerato gruppo ransomware Conti si è sciolto a causa del leak del codice sorgente durante la guerra tra Russia e U...

P.IVA: 05345670482

	Global
	Italy
	Japan
	Poland
	LATAM

	Global
	Italy
	Japan
	Poland
	LATAM

PROTEZIONE ENDPOINT E DATI

SICUREZZA GATEWAY

PROTEZIONE SERVER

08 aprile 2022Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework

Perchè la vulnerabilità CVE-2022-22965 - Spring4Shell è così pericolosa?

Mitigazioni per Spring4Shell

La copertura di Seqrite per Spring4Shell

Ultime news

Sistemi legacy: le aziende possono ancora permettersi di ignorare i cyber rischi?

Minacce invisibili in agguato: proteggi la tua PMI con la giusta strategia di sicurezza informatica

Ransomware: Lockbit la catena di attacco e le attività anti-forensi

Supporto

Risorse

Chi siamo

08 aprile 2022
Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework