Microsoft müşterilere sor etiketli, kritik olarak derecelendirilmiş bir uzaktan kod yürütme (RCE) güvenlik açığı olan yakın zamanda açıklanan hatayı düzeltmek için Azure bulut bilgi işlem hizmetinin CVE-2022-22965 ve takma adı SpringShell veya Spring4Shell. Adı geliyor korkunç Log4Shell hatası başka bir Java tabanlı uygulama günlüğü yardımcı programını etkileyen.
Hatanın ciddiyeti ilk tartışmanın konusu olmasına rağmen, Güvenlik araştırmacıları, kusurun keşfedilmesini takip eden günlerde Spring4Shell’in gerçekten ciddi bir kusur olduğunu ortaya çıkardı. hangi dikkati hak ediyor.
Onaylanmış ciddiyet
1 Nisan’da ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) çağırdı federal kurumlar da dahil olmak üzere tüm ABD kuruluşlarını derhal düzeltmek için. 4 Nisan’da CISA, hatayı Bilinen istismar edilen güvenlik açıkları kataloğufederal kurumların belirli bir zaman dilimi içinde düzeltmesini gerektirir.
Microsoft, Spring çerçevesinin “Java için en yaygın kullanılan hafif açık kaynak çerçevesi” olduğunu belirtiyor. Sistem ayrıca Spring Framework 5.3.0 – 5.3.17, 5.2.0 – 5.2.19 ve önceki sürümlerini de kullanıyorsa, hata Java Development Kit’in (JDK) 9.0 sürümündedir.
“Java Development Kit (JDK) sürüm 9.0 veya sonraki sürümlerde, uzak bir saldırgan, çerçevenin parametre bağlama işlevi aracılığıyla bir AccessLogValve nesnesi elde edebilir ve ardışık düzen mekanizmasını tetiklemek ve rastgele bir yolda bir dosyaya yazmak için kötü amaçlı alan değerlerini kullanabilir, belirli koşullar karşılanırsa”, raporlar Microsoft’un Defender Tehdit İstihbarat Ekibi.
Sömürü için başka koşullar gereklidir: Apache Tomcat bu nedenle bir sunucu uygulaması kapsayıcısı olarak hizmet etmeli, uygulama geleneksel bir Java web arşivi (WAR) olarak paketlenmeli ve bağımsız bir Tomcat örneğinde konuşlandırılmalıdır. Bununla birlikte, Spring Boot çoğunlukla, etkilenmeyen yapılandırmalar olan yerleşik bir sunucu uygulaması kapsayıcısı veya duyarlı web sunucusu olarak dağıtılır.
Microsoft, “JDK 9.0 veya üstünü kullanan ve Spring Framework veya türetilmiş çerçeveleri kullanan herhangi bir sistem güvenlik açığı olarak kabul edilmelidir.”
Yan etki
Microsoft, çalışan tek istismarın, bir kavram kanıtının, yalnızca belirli komutlar kullanılarak günlük kaydı modülü aracılığıyla bir Tomcat sunucusunda uzaktan kullanılabileceğini not eder. Saldırgan, web istekleri yayınlayarak varsayılan erişim günlüklerini istedikleri herhangi bir dosyaya değiştirebilir. Saldırgan daha sonra bir sunucunun veya web uygulamasının içeriğini değiştirebilir.
Log4Shell’e çok benzeyen Spring4Shell’in etkisi, diğer ürünlere dahil edilmesiyle hissedilir. Örneğin hiper yönetici şirket VMware, uyarıldı sanal makineler ve konteyner yazılımı için Tanzu hizmetlerinin etkilendiğini söyledi.
Microsoft, “Mevcut istismar, önceki hata düzeltmesini atlayarak CVE-2010-1622 ile aynı mekanizmayı kullanıyor. Java 9, Java Modülleri adlı yeni bir teknoloji ekledi” dedi.
Konuyu araştırmakla ilgilenen güvenlik ekipleri şu adrese başvurabilir: GitHub’daki bu kullanıcı gönderisi. Bahar ekibi ayrıca düzeltmeyi ve güvenlik açığını açıkladı burada.
Kusurlar şunları içerir: CVE-2022-22947kim etkilenen VMware’in Tanzu ürünleribirlikte CVE-2022-22963 ve Java uygulamalarını etkileyen CVE-2022-22965.
İlk istismar girişimleri
Check Point, bu güvenlik açıklarından yararlanma girişimlerini görmeye devam ediyor ve dünya çapındaki kuruluşların %16’sının bu açıklardan yararlanma girişimlerini gördüğünü gösteren verilere sahip. Hedeflenen müşterilerin çoğu Avrupa’da bulunuyordu. Güvenlik açığının keşfedilmesinden sonraki ilk hafta sonu Check Point, Spring4Shell güvenlik açığını ilişkilendirmek için yaklaşık 37.000 girişim gördüğünü söyledi.
Check Point, “En çok etkilenen sektör, kuruluşların %28’inin bu güvenlik açığından etkilendiği yazılım satıcılarıdır.” Dedi. Daha sonra eğitim ve araştırma sektörleri ile sigorta ve hukuk hizmetleri gelmektedir.
“Java Spring kullanan kuruluşlar, Spring Project’in resmi tavsiyesini takiben yazılımlarını derhal gözden geçirmeli ve en son sürümlere güncellemelidir”, Kontrol Noktası diyor.
Java, iş yazılımı uygulamaları oluşturmak için yaygın olarak kullanılır. Microsoft öğüt vermek güvenlik ayarlarının değiştirilmediğinden emin olmak için mobil cihaz yönetimi (MDM) ilkeleri aracılığıyla kayıt defteri anahtarlarını izlemek için Windows 11 kullanan müşteriler. Çekirdek düzeyindeki saldırıları azaltmak için yerleşik Windows Defender Uygulama Denetimi’nin (WDAC) kullanılması da önerilir.
Microsoft var dedi “düşük miktarda istismar girişimi izledi” Bu güvenlik açıkları için kendi bulut hizmetlerinde.
Kaynak : “ZDNet.com”