Spring geliştirme ekibi bugün, Spring4Shell olarak da adlandırılan yeni SpringShell güvenlik açığını kabul etti ve popüler Java çerçevelerinde sorunun temel nedenini düzeltmek için Spring Framework ve Spring Boot’un yeni sürümlerini yayınladı.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) tanımlayıcısı CVE-2022-22965’i yayınlayan güvenlik açığı, Web uygulamaları için model görüntüleme denetleyici mimarisini uygulayan bir çerçeve olan Spring MVC’yi ve sürüm 9.0’da çalışıyorsa Spring WebFlux’u kullanan uygulamaları etkiler. Spring geliştiricilerinin yayınladığı bir tavsiyeye göre Java Development Kit’in veya daha yüksek bir sürümü.
Bununla birlikte, uygulamanın bir Spring Boot’un standart dağıtım yöntemi yerine Apache Tomcat’te belirli bir dosya türü (Web Arşivi (WAR) dosyası) olarak dağıtılmasını gerektirdiğinden, soruna yönelik mevcut istismar biraz sınırlıdır. Java Arşivi (JAR) formatında yürütülebilir.
Ancak, daha fazla güvenlik araştırmacısı kodu inceledikçe ve değişebilecek güvenlik açığından yararlanmak için ek yollar aradıkça, Bahar komisyoncusu Rossen Stoyanchev danışma belgesinde uyardı.
Güvenlik açığının doğası daha geneldir ve bundan yararlanmanın başka yolları da olabilir” dedi.
Bahar Uygulamalarını Yama Zamanı
Güvenlik uzmanlarına göre şirketler, belirli, güvenlik açığı olduğu bilinen yapılandırmaları çalıştırmasalar bile, Spring Framework ve Spring Boot tabanlı tüm uygulamalarına yama uygulamaya öncelik vermeli. Geliştirme ekipleri genellikle tam yazılım malzeme listesini (SBOM) bilmezler ve bu da onları potansiyel olarak savunmasız yapılandırmalardan habersiz bırakabilir.
Yazılım yönetimi ve güvenlik firması Sonatype’ın saha CTO’su Ilkka Turunen, ayrıca, bu tür güvenlik açıkları “araştırmacılar başka istismar yolları aradıkça zamanla mutasyona uğrama eğiliminde” diyor.
“Böyle bir durumda çok tipik olan şey – sadece Log4j’de üç ay geriye bakın – konuyla ilgili hem iyi hem de kötü, sömürülebilir sınıflar hakkında düşünen araştırmacıların bir ton dikkati var” diyor. “Ancak bu hızla gelişiyor. Log4j’de orijinal sorunla ilgili dört CVE daha çıktığını gördük ve bunun burada olmasını bekliyoruz.”
Spring geliştiricileri, güvenlik açığından ilk olarak 29 Mart Salı günü haberdar oldular, ancak sorunların ayrıntıları, geliştirme ekibi yamayı ve açıklamayı bitirmeden önce sızdırıldı, Spring’den Stoyanchev Bahar tavsiyesinde belirtilen.
“Çarşamba günü, Perşembe günü acil durum yayınlarını hedeflerken araştırma, analiz, bir düzeltme belirleme, test etme üzerinde çalıştık” dedi. “Bu arada, yine Çarşamba günü, ayrıntılar tüm ayrıntılarıyla çevrimiçi olarak sızdırıldı, bu nedenle bu güncellemeyi sürümlerden ve CVE raporundan önce sunuyoruz.”
Bir bulut siber güvenlik şirketi olan ExtraHop’un kıdemli veri bilimcisi Edward Wu, Dark’a gönderilen bir bildiride, bir şirketin Spring tabanlı uygulamalarının savunmasız olup olmadığını anlamak çoğu şirket için zor olacaktır, çünkü bu “özellikle zor bir güvenlik açığı”. Okuma.
“Çoğu ekibin ortamlarında Spring Core çalıştıran veya çalıştırmayan yüzlerce satıcı tarafından sağlanan yazılım var” diyor. “Genellikle kaynak koduna erişimleri yok ve savunmasız olup olmadıklarını belirlemek için mücadele edecekler. Kuruluşların çevrelerini sorgulayabilmeleri, aynı zamanda ağlarındaki etkinliği tek bir gerçek kaynağı olarak izleyebilmeleri önemli olacak. “
Sonraki Log4j Değil
Bununla birlikte, uygulama güvenliği sağlayıcısı Invicti’nin seçkin mimarı Dan Murphy yaptığı açıklamada, genel olarak, bazı şirketler iki sorunu aynı düzeye yerleştirmiş olsa da, İlkbahardaki güvenlik açığı Log4Shell’deki kritik güvenlik açığından yararlanmanın gerisinde kalıyor, dedi. .
Spring4Shell, bazı şirketlerin güvenlik açığını adlandırdığı gibi, modern Spring uygulamaları için varsayılan olmayan bir yapılandırmaya güvendiğini söyledi. Bir şirket Spring Boot uygulamalarını bağımsız bir uygulama olarak çalıştırıyorsa, muhtemelen savunmasız değildir.
Murphy, “Spring4Shell güvenlik açığı ciddi ve kesinlikle yama gerektirse de, ilk bulgularımız bunun bir sonraki Log4Shell olayı olmayacağını gösteriyor.” Dedi. “Bununla birlikte, kuruluşlar standart en iyi uygulamaları takip etmeli ve yama için bir plan yapmalıdır. Altta yatan sorun hala mevcuttur ve potansiyel olarak henüz keşfedilmemiş şekillerde kullanılabilir.”
Çarşamba günü, birkaç güvenlik araştırmacısı, yeni istismarı önceki gün açıklanan ikinci bir güvenlik açığı etrafında dolaşan bilgilerle karıştırdı. güvenlik açığı, CVE-2022-22963, Spring Cloud Function kitaplığını etkiler, ancak aynı zamanda yanlış önem derecesine de atanmıştır. Spring geliştirme ekibi, 31 Mart’ta bu güvenlik açığının ciddiyetini “Kritik” olarak yükseltti.