L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté lundi la vulnérabilité d’exécution de code à distance (RCE) récemment divulguée affectant le Spring Framework, à son Catalogue des vulnérabilités exploitées connues sur la base de « preuves d’exploitation active ».
La faille de gravité critique, attribuée à l’identifiant CVE-2022-22965 (score CVSS : 9,8) et surnommée « Spring4Shell », affecte les applications Spring model-view-controller (MVC) et Spring WebFlux exécutées sur Java Development Kit 9 et versions ultérieures.
« L’exploitation nécessite un point de terminaison avec DataBinder activé (par exemple, une requête POST qui décode automatiquement les données du corps de la requête) et dépend fortement du conteneur de servlets pour l’application », ont noté la semaine dernière les chercheurs prétoriens Anthony Weems et Dallas Kaman.
Bien que les détails exacts des abus dans la nature restent flous, la société de sécurité de l’information SecurityScorecard mentionné « Une analyse active de cette vulnérabilité a été observée provenant des suspects habituels comme l’espace IP russe et chinois. »
Des activités de numérisation similaires ont été repérées par Akamaï et Palo Alto Networks Unité42les tentatives menant au déploiement d’un shell Web pour l’accès par porte dérobée et à l’exécution de commandes arbitraires sur le serveur dans le but de diffuser d’autres logiciels malveillants ou de se propager au sein du réseau cible.
Selon statistiques publiées par Sonatype, les versions potentiellement vulnérables du Spring Framework représentent 81 % du total des téléchargements depuis le référentiel Maven Central depuis que le problème a été révélé le 31 mars.
Cisco, qui est enquêtant activement son line-up pour déterminer lequel d’entre eux pourrait être impacté par la vulnérabilité, a confirmé que trois de ses produits sont concernés –
- Moteur d’optimisation Cisco Crosswork
- Cisco Crosswork Zero Touch Provisioning (ZTP) et
- Cisco Edge Intelligence
VMware, pour sa part, a également considéré trois de ses produits comme vulnérables, proposant des correctifs et des solutions de contournement le cas échéant –
- Service d’application VMware Tanzu pour les machines virtuelles
- Gestionnaire des opérations VMware Tanzu et
- VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)
« Un acteur malveillant disposant d’un accès réseau à un produit VMware impacté peut exploiter ce problème pour obtenir le contrôle total du système cible », explique VMware. mentionné dans le conseil.
La CISA a également ajouté au catalogue deux failles zero-day corrigées par Apple la semaine dernière (CVE-2022-22674 et CVE-2022-22675) et une lacune critique dans les routeurs D-Link (CVE-2021-45382) qui a été activement militarisé par la campagne DDoS basée sur Beastmode Mirai.
Conformément à la directive opérationnelle contraignante (BOD) Publié par la CISA en novembre 2021, les agences du Pouvoir exécutif civil fédéral (FCEB) sont tenues de remédier aux vulnérabilités identifiées d’ici le 25 avril 2022.