Popüler Spring çerçevesinin koruyucuları, kritik uzaktan kod yürütme kusurunu (CVE-2022-22965) 31 Mart’ta yamaladı. İki hafta sonra, Spring indirmelerinin çoğu hala yama uygulanmamış savunmasız sürümleri kullanıyor, bu da geliştiricilerin yükseltmek için bir acele.
Sonatype tarafından Exploit Resource Center’da yayınlanan tablolara göre, 15 Nisan itibariyle, İlkbahar indirmelerinin %77’si güvenlik açığı bulunan sürümler içindi. Bu, Spring indirmelerinin %82’sinin çerçevenin savunmasız sürümleri için yapıldığı 4 Nisan’dan küçük bir düşüş. En son sürümleri benimseyen indirmelerin yaklaşık %20’sine hızlı bir sıçrama oldu, ancak o zamandan beri rakam aynı seviyeye geldi. Spring’in savunmasız sürümlerinin hala indirilmesinin bir nedeni, birçok şirketin her bir iş uygulaması için tüm bağımlılıkları net bir şekilde anlamadığı gerçeğine bağlı olabilir.
“[The] Bu indirmeleri görmeye devam etmemiz, kuruluşların yükseltme kararı almadığının bir göstergesidir” diyor Sonatype’ın CTO’su Brian Fox.
Yukarıdaki yığılmış alan grafiğinde, kırmızı bölge güvenlik açığı bulunan sürümleri ve yeşil bölge, düzeltme yoluna sahip güncellenmiş sürümü temsil eder. Bu durumda, sayı ne kadar yüksek olursa, güvenlik açığı bulunan bileşene sahip uygulama o kadar fazla oluşturulur.
Güncellenmiş sürümü kullanan geliştiricilerin çoğuna yönelik iğne çok yavaş ilerliyor.
Geleceğe Hazırlanmak
Güvenlik açığından yararlanılabilirlik herhangi bir zamanda değişebilir – birileri tekrarlanabilir ve çok sayıda özel koşulun bulunmasını gerektirmeyen bir saldırı vektörü geliştirebilir veya güvenlik azaltmalarını aşmanın bir yolunu bulabilir. Daha yeni bir istismar geliştirilmeden ve durum daha ciddi hale gelmeden önce ortamın güncellenmesi daha iyi olur.
“[The] tehlike şu ki, dikkat konisi ilerlediğinde, daha sonra bir risk haline gelebilecek çok sayıda yama yapılmamış mülk olacak” diye belirtiyor Iikka Turunen, Sontaype’nin saha CTO’su. “Bu bir bahar meselesi değil, bağımlılıklarımızı nasıl yönetiyoruz meselesi.”
Güvenlik açığı, Spring Framework 5.3.0 – 5.3.17, 5.2.0 – 5.2.19 ve daha eski sürümlerinde bulunmaktadır. Sorun, Spring Framework sürüm 5.3.18 ve 5.2.20 ile Spring Boot 2.5.12 ve 2.6.6’da düzeltildi.
Fox, “Bu, yükseltme yapmaları gerektiğini bilen ve yapabilenlerin bunu çok hızlı yapma eğiliminde olduğunu gösteriyor” diyor. “Ancak uzun kuyruğun geri kalanı çok uzun, saldırganların mevcut güvenlik açıklarından yararlanmanın yeni yollarını bulmaları ve mevcut olabilecek hafifletmeler üzerinde çalışma yapmaları için çok fazla alan bırakıyor.”
Log4j kadar “kötü” değil
Aralık ayında, Log4j’deki güvenlik açığı açıklandığında, insanların mümkün olan en kısa sürede güncelleme yapmaları için büyük bir baskı vardı. Sonatype, son rakamların Log4j indirmelerinin %34’ünün hala savunmasız sürüm olduğunu gösterdiğini söylüyor. Yeni indirmelerin çoğu en son – güvenli – sürüm içindir.
Şiddetine rağmen, Spring’deki sorun o kadar acil olarak görülmüyor çünkü istismar standart olmayan bir kurulum gerektiriyor (çoğu modern uygulama Spring Boot yürütülebilir jar dosyalarına geçtiğinde geleneksel bir WAR dosyası olarak paketlenmiştir) ve istismar şu anda çok fazla. sınırlı.
“Spring4Shell, ‘Kritik’ ancak ‘İnternet Yanıyor’ düzeyinde güvenlik açıkları ortaya çıktığında yazılım endüstrisinde neler olduğunu anlamamız için bize benzersiz bir fırsat veriyor.” Turunen diyor.
Nadirlik, güvenlik açığı taraması ve sızma testi hizmetleri şirketinin altını çizmek için davetsiz misafir tarandı Güvenlik açığının açıklanmasından bu yana 25.000’den fazla istemci varlığı. Intruder’da güvenlik mühendisi olan Benjamin Marr, “Henüz savunmasız bir uygulama bulamadık” diye yazıyor.
Güvenlik ekipleri, kayıtsız kalmamalı veya yükseltmeleri geciktirmemelidir. Fox, “Birbirine yakın yöntemlerden yararlanmanın kaçınılmaz olarak daha fazla yolu olacak” diyor. “Bu senaryolarda yapılacak en güvenli şey, neredeyse her zaman yükseltmedir.”