Vulnerabilidade Spring4Shell pode ter ‘impacto maior’ do que Log4j

Uma vulnerabilidade de dia zero recém-descoberta chamada Spring4Shell pode ter um “impacto maior” do que o Log4j.

O Log4j fez barulho nos últimos meses quando vulnerabilidades na popular biblioteca de log de código aberto permitiram que invasores invadissem sistemas, roubassem senhas e logins, extraíssem dados e infectassem redes com malware.

No entanto, a atenção agora se volta para a exploração Spring4Shell.

Spring4Shell é uma vulnerabilidade de execução remota de código (RCE) de dia zero no Spring Framework que foi descoberta depois que pesquisadores de segurança chineses vazaram uma exploração de prova de conceito (PoC) no GitHub.

A Java Springcore RCE 0day exploit has been leaked. It was leaked by a Chinese security researcher who, since sharing and/or leaking it, has deleted their Twitter account.

We have not verified the exploit.

tl;dr big if true

Download the 0day POC here: https://t.co/SgPCdI00TS

— vx-underground (@vxunderground) March 30, 2022

“Em algumas configurações, explorar esse problema é simples porque requer apenas que um invasor envie uma solicitação HTTP criada para um sistema vulnerável”, explicaram os pesquisadores de segurança de Pretória Anthony Weems e Dallas Kaman.

“No entanto, explorar uma configuração diferente exigiria pesquisas adicionais do invasor para encontrar uma carga útil válida”.

Pesquisadores de segurança responsáveis ​​estão retendo mais detalhes para limitar possíveis danos até que a estrutura do Spring seja corrigida.

Enquanto isso, Praetorian sugere “criar um componente ControllerAdvice (um componente Spring compartilhado entre controladores) e adicionar o modo perigoso à lista de negações”.

Vulnerabilidade Spring4Shell

Atualmente, os pesquisadores estão divididos sobre a magnitude do impacto no mundo real.

“As informações atuais sugerem que, para explorar a vulnerabilidade, um invasor teria que localizar e identificar a instância do aplicativo da Web que realmente usa DeserializationUtils, que o desenvolvedor já sabe que é perigoso”, disse Flashpoint em seus comentários.

Outros pesquisadores estão mais preocupados.

“A equipe do Contrast Security Labs identificou uma vulnerabilidade crítica de dia zero chamada Spring4Shell que afeta o artefato spring-core, uma estrutura popular amplamente usada em 74% dos aplicativos Java”, disse David, diretor de segurança da informação da Contrast Security Lindner.

“A equipe do Contrast Labs demonstrou uma exploração que acreditamos ter um impacto maior do que o Log4j devido à maneira como o aplicativo Spring lida com as ligações. Nossa equipe continua explorando essa vulnerabilidade.

“Recomendamos que os desenvolvedores Java definam especificamente propriedades para campos permitidos ou definam corretamente campos não permitidos na classe DataBinder para padrões de ataque maliciosos conhecidos.”

Em vez de esperar por análises adicionais, garanta proativamente que seus aplicativos e serviços estejam protegidos contra vulnerabilidades do Spring4Shell.

Leia também: O que é HTML? Para que serve o HTML?