Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework

08 aprile 2022
Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework

E' stata individuata una vulnerabilità 0-day di esecuzione di codice da remoto e classificata come critica: denominata Spring4Shell, tecnicamente CVE-2022-22965, è presente nelle versioni del framework Java Spring dalla 5.3.0 alla 5.3.17 e dalla 5.2.0 alla 5.2.19 e precedenti.

Spring è un framework open source molto popolare per costruire web application in Java per ambienti aziendali. Gli exploit già pubblicamente disponibili, vista l'ampia diffusione di questo framework, rendono la vulnerabilità molto pericolosa.

Perchè la vulnerabilità CVE-2022-22965 - Spring4Shell è così pericolosa?

Le applicazioni Spring Framework SpringMVC o Spring WebFlux in esecuzione su JDK 9 o versioni successive sono soggette ad esecuzione di codice remoto tramite Data Binding. La vulnerabilità è dovuta ad una impropria gestione delle proprietà della classe Java, che può condurre ad una class injection. Allo stesso tempo, l'input bidning HTTP e una richiesta HTTP appositamente prodotta potrebbero condurre ad un attacco di esecuzione di codice da remoto e compromettere le applicazioni Java prodotte in Spring senza richiedere l'autenticazione del traffico. Stando all'avviso del vendor:

"se l'applicazione è distribuita come un eseguibile jar Spring Boot, cioè l'impostazione predefinita, non sarà vulnerabile all'exploit. Tuttavia, la natura di questa vulnerabilità è più generale e potrebbero esserci anche altre vie per sfruttarla".

Software e versioni vulnerabili

JDK 9 o successivi;
Apache Tomcat come Servlet Container;
Formato del file WAR (Web Application Resource) invece del JAR da impostazione predefinita;
dependency da Spring-webmvc o Spring-webflux;
Spring Framework nelle versioni dalla 5.3.0 alla 5.3.17 e dalla 5.2.0 alla 5.2.19 e precedenti.

Mitigazioni per Spring4Shell

Aggiornare immediatamente a Spring Framework 5.3.18 e 5.2.20 o versioni successive;
riferire all'advisory del vendor;
aggiornare le soluzioni di sicurezza della rete e degli endpoint alle definizioni più recenti.

La CVE-2022-22963 è stata individuata anche nella funzione Spring Cloud, versioni 3.1.6, 3.2.2 e funzionalità di routing precedenti. Gli attaccanti possono sfruttarla inviando un'espressione di routing SpEL approntata appositamente. Le versioni riguardate dovrebbero essere aggiornate alla 3.17 e alla 3.2.3.

La copertura di Seqrite per Spring4Shell

Abbiamo rilasciato regole IPS per individuare e boccare attacchi remoti che tentino di sfruttare Spring4Shell e altre vulnerabilità. Continueremo a monitorare lo sviluppo e l'andamento della probelematica e ad aggiornare i nostri sistemi di individuazione. Consigliamo a tutti i clienti di patchare i propri sistemi in tempo e di mantere il software antivirus aggiornato al più recente Database dei Virus VDB.

Ultime news

Per saperne di più

Passare al cloud? Come gestire i rischi informatici per concludere con successo ed efficienza l'operazione

28 settembre 2022

L'adozione del cloud ha registrato una crescita a dir poco esponenziale negli ultimi anni: tuttavia è importante ricordare che tal...

Per saperne di più

Un tuffo nel futuro: che cosa è il web 3.0 e perchè è così importante?

15 settembre 2022

Traduzione dell'articolo di Vijay Yadav - Data Analytics Team di Quick HealInternet, come tutti lo conosciamo, si avvicina ad un b...

Per saperne di più

Siamo pronti ai rischi consenguenti alla rivoluzione dell'Internet of Things (IoT)?

28 luglio 2022

Stando ai dati di IoT Analytics, il numero dei dispositivi Internet of Things dovrebbe raggiungere la considerevole cifra di 22 mi...

P.IVA: 05345670482

	Global
	Italy
	Japan
	Poland
	LATAM

	Global
	Italy
	Japan
	Poland
	LATAM

PROTEZIONE ENDPOINT E DATI

SICUREZZA GATEWAY

PROTEZIONE SERVER

08 aprile 2022Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework

Perchè la vulnerabilità CVE-2022-22965 - Spring4Shell è così pericolosa?

Mitigazioni per Spring4Shell

La copertura di Seqrite per Spring4Shell

Ultime news

Passare al cloud? Come gestire i rischi informatici per concludere con successo ed efficienza l'operazione

Un tuffo nel futuro: che cosa è il web 3.0 e perchè è così importante?

Siamo pronti ai rischi consenguenti alla rivoluzione dell'Internet of Things (IoT)?

Supporto

Risorse

Chi siamo

08 aprile 2022
Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework