La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el lunes la vulnerabilidad de ejecución remota de código (RCE) recientemente revelada que afecta a Spring Framework, a su Catálogo de vulnerabilidades explotadas conocidas basado en «evidencia de explotación activa».
La falla de gravedad crítica, a la que se le asignó el identificador CVE-2022-22965 (puntaje CVSS: 9.8) y se denominó «Spring4Shell», afecta las aplicaciones Spring model-view-controller (MVC) y Spring WebFlux que se ejecutan en Java Development Kit 9 y versiones posteriores.
«La explotación requiere un punto final con DataBinder habilitado (por ejemplo, una solicitud POST que decodifica los datos del cuerpo de la solicitud automáticamente) y depende en gran medida del contenedor de servlet para la aplicación», señalaron la semana pasada los investigadores de Praetorian Anthony Weems y Dallas Kaman.
Aunque los detalles exactos del abuso en estado salvaje siguen sin estar claros, la empresa de seguridad de la información SecurityScorecard dijo «Se ha observado un escaneo activo de esta vulnerabilidad proveniente de los sospechosos habituales, como el espacio IP ruso y chino».
Actividades de escaneo similares han sido detectadas por Akamai y Palo Alto Networks’ Unidad42con los intentos que llevaron a la implementación de un shell web para el acceso de puerta trasera y para ejecutar comandos arbitrarios en el servidor con el objetivo de entregar otro malware o propagarse dentro de la red de destino.
De acuerdo a Estadísticas publicado por Sonatype, las versiones potencialmente vulnerables de Spring Framework representan el 81 % del total de descargas del repositorio de Maven Central desde que el problema salió a la luz el 31 de marzo.
Cisco, que es investigando activamente su línea para determinar cuáles de ellos pueden verse afectados por la vulnerabilidad, confirmó que tres de sus productos están afectados:
- Motor de optimización de Cisco Crosswork
- Cisco Crosswork Zero Touch Provisioning (ZTP), y
- Inteligencia perimetral de Cisco
VMware, por su parte, también ha considerado que tres de sus productos son vulnerables y ofrece parches y soluciones cuando corresponde:
- Servicio de aplicaciones VMware Tanzu para máquinas virtuales
- Gerente de operaciones de VMware Tanzu y
- VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)
«Un actor malicioso con acceso a la red de un producto de VMware afectado puede explotar este problema para obtener el control total del sistema de destino», dijo VMware. dijo en el asesor.
CISA también agregó al catálogo dos fallas de día cero parcheadas por Apple la semana pasada (CVE-2022-22674 y CVE-2022-22675) y una deficiencia crítica en los enrutadores D-Link (CVE-2021-45382) que ha sido activamente armado por la campaña DDoS basada en Beastmode Mirai.
De conformidad con la Directiva Operativa Vinculante (BOD) emitido por CISA en noviembre de 2021, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben remediar las vulnerabilidades identificadas antes del 25 de abril de 2022.