ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Pazartesi günü, Spring Framework’ü etkileyen yakın zamanda açıklanan uzaktan kod yürütme (RCE) güvenlik açığını, Bilinen Sömürülen Güvenlik Açıkları Kataloğu “aktif sömürünün kanıtı”na dayanmaktadır.
CVE-2022-22965 tanımlayıcısı atanan (CVSS puanı: 9.8) ve “Spring4Shell” olarak adlandırılan kritik önemdeki kusur, Java Development Kit 9 ve sonraki sürümlerde çalışan Spring model-view-controller (MVC) ve Spring WebFlux uygulamalarını etkiler.
Praetorian araştırmacıları Anthony Weems ve Dallas Kaman geçen hafta, “İstismar, DataBinder’ın etkin olduğu bir uç nokta gerektirir (örneğin, istek gövdesinden gelen verilerin kodunu otomatik olarak çözen bir POST isteği) ve büyük ölçüde uygulama için sunucu uygulaması kapsayıcısına bağlıdır.”
Vahşi doğada kötüye kullanımın kesin ayrıntıları belirsizliğini koruyor olsa da, bilgi güvenliği şirketi SecurityScorecard dedim “Bu güvenlik açığı için aktif taramanın, Rus ve Çin IP alanı gibi olağan şüphelilerden geldiği gözlemlendi.”
Benzer tarama faaliyetleri tarafından tespit edilmiştir Akamai ve Palo Alto Networks’ birim42arka kapı erişimi için bir web kabuğunun konuşlandırılmasına ve diğer kötü amaçlı yazılımları teslim etmek veya hedef ağ içinde yayılmak amacıyla sunucuda rastgele komutlar yürütmeye yol açan girişimlerle.
Check Point Research, “Güvenlik açığının ortaya çıkmasından sonraki ilk dört gün boyunca, dünya çapındaki kuruluşların %16’sı istismar girişimlerinden etkilendi.” dedimhafta sonu boyunca 37.000 Spring4Shell ile ilgili saldırı tespit ettiğini ekledi.
Microsoft 365 Defender Tehdit İstihbarat Ekibi ayrıca seslendi“Spring Cloud ve Spring Core güvenlik açıkları için bulut hizmetlerimizde düşük hacimli açıklardan yararlanma girişimlerini takip ettiğini” belirtti.
Buna göre İstatistik Sonatype tarafından yayınlanan, Spring Framework’ün potansiyel olarak savunmasız sürümleri, sorunun 31 Mart’ta ortaya çıkmasından bu yana Maven Central deposundan yapılan toplam indirmelerin %81’ini oluşturuyor.
olan Cisco, aktif olarak araştırmak Hangilerinin bu güvenlik açığından etkilenebileceğini belirleyen kadrosu, üç ürününün etkilendiğini doğruladı –
- Cisco Çapraz Optimizasyon Motoru
- Cisco Crosswork Zero Touch Provisioning (ZTP) ve
- Cisco Uç Zekası
VMware, kendi adına, üç ürününü de savunmasız olarak kabul etti ve uygun olduğunda yamalar ve geçici çözümler sunuyor –
- VM’ler için VMware Tanzu Uygulama Hizmeti
- VMware Tanzu Operasyon Müdürü ve
- VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)
VMware, “Etkilenen bir VMware ürününe ağ erişimi olan kötü niyetli bir aktör, hedef sistemin tam kontrolünü ele geçirmek için bu sorundan yararlanabilir.” dedim danışmada.
CISA tarafından kataloğa ayrıca, Apple tarafından geçen hafta yamalanan iki sıfır gün kusuru (CVE-2022-22674 ve CVE-2022-22675) ve D-Link yönlendiricilerindeki (CVE-2021-45382) kritik bir eksiklik de eklendi. Beastmode Mirai tabanlı DDoS kampanyası tarafından aktif olarak silahlandırılmıştır.
Bağlayıcı Operasyonel Direktif (BOD) uyarınca Veriliş Kasım 2021’de CISA tarafından, Federal Sivil Yürütme Şubesi (FCEB) kurumlarının 25 Nisan 2022’ye kadar belirlenen güvenlik açıklarını düzeltmesi gerekiyor.
