La disclosure di diverse vulnerabilità che prendono di mira Spring, il più noto framework Java, ha portato al panico le grandi aziende che temono di avere a che fare con una falla simile a Log4Shell.
Spring, di proprietà di VMware, è progettato per aumentare la velocità e la produttività rendendo la programmazione Java più facile.
La comunità di cybersicurezza ha iniziato a dare i numeri mercoledì dopo che un ricercatore cinese ha reso disponibile una proof-of-concept (PoC) per una vulnerabilità di esecuzione di codice remoto che colpisce il modulo Core del framework Spring.
L’exploit PoC è stato subito rimosso, ma i ricercatori che lo hanno analizzato hanno confermato che si riferisce a quello che sembra essere un bug senza patch che può essere sfruttato senza autenticazione. Un punteggio CVSS di 10 è stato assegnato al bug, ma non c’è un identificatore CVE.
La società di cybersicurezza Praetorian ha riferito che la vulnerabilità zero-day, che è stata soprannominata Spring4Shell e SpringShell, sembra essere il risultato di un bypass per un vecchio buco di sicurezza tracciato come CVE-2010-1622.
Dopo che il mondo ha appreso l’esistenza di Spring4Shell, molti nella comunità di cybersecurity hanno avvertito che la vulnerabilità potrebbe rivelarsi peggiore della falla Log4j nota come Log4Shell, che è stata sfruttata in molti attacchi sia da criminali informatici a scopo di lucro che da attacchi state-sponsored. Le preoccupazioni sono venute a galla a causa dell’apparente facilità di sfruttamento e dalla diffusione di Spring.
Tuttavia, un’analisi più approfondita ha rivelato che le organizzazioni potrebbero non aver bisogno di farsi prendere dal panico per Spring4Shell. Mentre l’exploit PoC rilasciato dal ricercatore cinese funziona, funziona solo contro alcune configurazioni e versioni di Java 9 e più recenti. Non è ancora chiaro quante applicazioni siano effettivamente vulnerabili agli attacchi.
La confusione che circonda la vulnerabilità Spring4Shell è peggiorata da altre due falle di sicurezza Spring che sono state rivelate e patchate questa settimana. Uno di loro, tracciato come CVE-2022-22963, è stato descritto come media gravità in Spring Cloud Function che può essere sfruttato per accedere alle risorse locali.
La seconda vulnerabilità di Spring rivelata questa settimana, CVE-2022-22950, è una falla di media gravità DoS che colpisce il framework Spring. Entrambe le falle possono essere sfruttate utilizzando espressioni Spring Expression Language (SpEL) appositamente realizzate.
Molti, comprese alcune aziende di cybersecurity, hanno erroneamente collegato CVE-2022-22963 e CVE-2022-22950 alla vulnerabilità Spring4Shell.
Rapid7 ha dichiarato di non aver avuto prove di exploitation, e Flashpoint ha detto di “non aver ancora osservato tentativi di sfruttamento, o comunicati di hacker, per quanto riguarda la vulnerabilità SpringShell”.
Fino a quando una patch diventa disponibile per Spring4Shell, ci sono mitigazioni temporanee che possono essere implementate per prevenire gli attacchi.