Güvenlik araştırmacılarının 30 Mart’ta yaptığı açıklamaya göre, popüler Java Web uygulama geliştirme çerçevesi Spring’de bulunan sıfırıncı gün güvenlik açığı, çok çeşitli Web uygulamalarını uzaktan saldırı riskiyle karşı karşıya bırakıyor.
Bazı güvenlik firmaları tarafından Spring4Shell ve SpringShell olarak adlandırılan güvenlik açığı, araştırmacıların sorunun yeni mi yoksa eski güvenlik açıklarıyla ilgili mi olduğunu belirlemeye çalışırken son 24 saat içinde büyük bir kafa karışıklığına neden oldu. Siber güvenlik hizmetleri firması Praetorian ve tehdit istihbarat firması Flashpoint ile araştırmacılar bağımsız olarak, istismarın, ortak bir yapılandırma kullanılarak bir Apache Tomcat sunucusuna bir Spring uygulaması dağıtılırsa uzaktan kullanılabilecek yeni bir güvenlik açığına saldırdığını doğruladı.
Praetorian’ın baş teknoloji sorumlusu Richard Ford, henüz bir Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) tanımlayıcısı atanmamış olan Spring4Shell’in kurulumların uzaktan tehlikeye karşı savunmasız olmadığından emin olmak için büyük olasılıkla geniş yama gerektireceğini söylüyor.
“Bu noktada önemsiz derecede sömürülebilir olduğunu bildiğimiz şeyler açısından etki nispeten geniştir” diyor. “Koşan insanlar bile [non-vulnerable configurations] – bugün – çalışan bir RCE’miz olmamasına rağmen, muhtemelen yama yapılması önerilecektir. [remote code execution] onun için.”
bu Praetorian tarafından uygulamalı araştırma ve Flashpoint, sosyal medyadaki çeşitli güvenlik uzmanları tarafından, kavram kanıtı kodunun aslında daha eski, zaten yamalanmış güvenlik açıklarından yararlandığı yönündeki spekülasyonları sona erdirdi. İstismarın hedeflediği güvenlik açığı, bu hafta Spring çerçevesinde açıklanan önceki iki güvenlik açığından farklıdır: Spring Cloud güvenlik açığı (CVE-2022-22963) ve Spring Expression DoS güvenlik açığı (CVE-2022-22950), konuları inceleyen araştırmacılara göre.
Perakende ve Otelcilik ISAC ayrıca Bir bildiri yayınladı araştırmacılarının güvenlik açığını doğruladığını söyledi.
Praetorian’a göre, şu anda VMware’in sahibi olduğu ve yönettiği Spring, şu anda bir güncelleme üzerinde çalışıyor. Flashpoint bir blog gönderisinde, bu noktada tehdit aktörlerinin henüz güvenlik açığı hakkında iletişim kurmadıklarını belirtti.
Flashpoint, “Bu yayın itibariyle, Flashpoint analistleri henüz SpringShell güvenlik açığıyla ilgili istismar girişimlerini veya tehdit aktörü iletişimlerini gözlemlemedi.” ilk analizinde yazdıekleme: “[C]Mevcut bilgiler, güvenlik açığından yararlanmak için saldırganların, güvenlik açığını gerçekten kullanan web uygulaması örneklerini bulup tanımlaması gerektiğini öne sürüyor. DeserializationUtils, geliştiriciler tarafından zaten tehlikeli olduğu bilinen bir şey. Doğru olduğu kanıtlanırsa, SpringShell’in etkisi, olabileceği gibi daha etkili veya yaygın olarak yanlış anlaşılma potansiyeline sahiptir.”
Silinmiş Bir Twitter Gönderisi
Siber güvenlik uzmanları, güvenlik açığından ilk olarak Çinli bir güvenlik araştırmacısı, kavram kanıtı saldırısının bir ekran görüntüsünü yayınladığında öğrendi. Bilgisayar korsanları kısa süre sonra ekran görüntüsünü indirdiler, çünkü muhtemelen güvenlik açığı bilgilerini hükümet onayı olmadan herkese açık olarak paylaşmak Çin’de bir suçtur. Saldırgan siber teknikler ve kötü amaçlı yazılımlar için bir merkez olan VX-Underground, 30 Mart’ta gün ortasında sızıntı hakkında tweet attı.
“Bir Java Springcore [sic] RCE 0day istismarı sızdırıldı,” belirtilen tweet. “Paylaştığı ve/veya sızdırdığı için Twitter hesabını silen Çinli bir güvenlik araştırmacısı tarafından sızdırıldı.”
Praetorian’ın araştırma laboratuvarlarında baş güvenlik mühendisi olan Anthony Weems, araştırmacılar ekran görüntülerine eriştikten sonra, istismarın tersine mühendislik ve saldırının çalışmasını sağlamak için yalnızca birkaç saat sürdüğünü söylüyor.
Saldırı şu anda Tomcat’e dağıtılan Spring uygulamaları için çalışıyor, ancak Spring Boot ve yaygın bir dağıtım mekanizması olan gömülü Tomcat’i kullanan Spring uygulamalarından yararlanılamaz. Weems, saldırıyı Aralık ayında keşfedilen Log4Shell açığıyla ilişkilendirmese de, bazı benzerlikler var.
“Log4j gibi, çerçevenizin yapmasını beklemeyeceğiniz bir şey yapıyor” diyor ve birçok Spring çerçeve yapılandırması savunmasız olmadığından benzerliğin burada bittiğini de sözlerine ekledi. “Uygulama çerçeveniz olarak Spring’i seçmiş olmanız ve Tomcat kullanıyor olmanız, ancak yerleşik Tomcat ile SpringBoot kullanmamanız gerekir. Bu, güvenli olan yaygın bir yapılandırmadır.”
Log4Shell “Çok Daha Kötü”
Praetorian’dan Ford’a göre Spring framework güvenlik açığı Log4j’de bulunan sorunlar kadar kritik görünmüyor. Saldırganların, güvenlik açığından yararlanmak için uygulamanın uç noktası da dahil olmak üzere adresi bilmesi gerekir. Ayrıca, Log4j’deki bazı durumların aksine, İnternet’e açık olmayan uygulamalar güvenlidir.
“Log4Shell çok daha kötüydü, çünkü istismar doğrudan İnternet’e bağlı olmayan sistemleri vurabilirdi” diyor. “Bu durumda, makineye vurmanız gerekecek.”