Une vuln\u00e9rabilit\u00e9 d’ex\u00e9cution de code \u00e0 distance (RCE) zero-day a \u00e9t\u00e9 d\u00e9couverte dans le framework Spring peu de temps apr\u00e8s qu’un chercheur chinois en s\u00e9curit\u00e9 bri\u00e8vement divulgu\u00e9<\/a> une preuve de concept<\/a> (PoC) exploit<\/a> sur GitHub avant de supprimer leur compte.<\/p>\n Selon la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Praetorian, la faille non corrig\u00e9e affecte Spring Core sur Java Development Kit (JDK<\/a>) versions 9 et ult\u00e9rieures et est un contournement pour une autre vuln\u00e9rabilit\u00e9 suivie comme CVE-2010-1622<\/a>permettant \u00e0 un attaquant non authentifi\u00e9 d’ex\u00e9cuter du code arbitraire sur le syst\u00e8me cible.<\/p>\n Le printemps est un cadre logiciel<\/a> pour cr\u00e9er des applications Java, y compris des applications Web sur la plate-forme Java EE (Enterprise Edition).<\/p>\n “Dans certaines configurations, l’exploitation de ce probl\u00e8me est simple, car il suffit qu’un attaquant envoie une requ\u00eate HTTP sp\u00e9cialement con\u00e7ue \u00e0 un syst\u00e8me vuln\u00e9rable”, ont d\u00e9clar\u00e9 les chercheurs Anthony Weems et Dallas Kaman. mentionn\u00e9<\/a>. “Cependant, l’exploitation de diff\u00e9rentes configurations obligera l’attaquant \u00e0 effectuer des recherches suppl\u00e9mentaires pour trouver des charges utiles qui seront efficaces.”<\/p>\n D\u00e9tails suppl\u00e9mentaires de la faille, surnomm\u00e9s “SpringShell<\/strong>” et “Spring4Shell<\/strong>“, ont \u00e9t\u00e9 retenus pour emp\u00eacher les tentatives d’exploitation et jusqu’\u00e0 ce qu’un correctif soit mis en place par les responsables du framework, Spring.io, une filiale de VMware. Il n’a pas non plus encore re\u00e7u d’identifiant CVE (Common Vulnerabilities and Exposures).<\/p>\n Il convient de noter que la faille cibl\u00e9e par l’exploit zero-day est diff\u00e9rente des deux vuln\u00e9rabilit\u00e9s pr\u00e9c\u00e9dentes divulgu\u00e9es dans le cadre de l’application cette semaine, y compris la vuln\u00e9rabilit\u00e9 DoS de l’expression Spring Framework (CVE-2022-22950<\/a>) et la vuln\u00e9rabilit\u00e9 d’acc\u00e8s aux ressources d’expression Spring Cloud (CVE-2022-22963<\/a>).<\/p>\n Dans l’intervalle, la soci\u00e9t\u00e9 recommande “de cr\u00e9er un composant ControllerAdvice (qui est un composant Spring partag\u00e9 entre les contr\u00f4leurs) et d’ajouter des mod\u00e8les dangereux \u00e0 la liste de refus”.<\/p>\n L’analyse initiale de la nouvelle faille d’ex\u00e9cution de code dans Spring Core sugg\u00e8re que son impact pourrait ne pas \u00eatre grave. “[C]Les informations actuelles sugg\u00e8rent que pour exploiter la vuln\u00e9rabilit\u00e9, les attaquants devront localiser et identifier les instances d’applications Web qui utilisent r\u00e9ellement DeserializationUtils, ce que les d\u00e9veloppeurs savent d\u00e9j\u00e0 \u00eatre dangereux”, Flashpoint mentionn\u00e9<\/a> dans une analyse ind\u00e9pendante.<\/p>\n Malgr\u00e9 la disponibilit\u00e9 publique des exploits PoC, “il est actuellement difficile de savoir quelles applications du monde r\u00e9el utilisent la fonctionnalit\u00e9 vuln\u00e9rable”, Rapid7 expliqu\u00e9<\/a>. “La configuration et la version JRE peuvent \u00e9galement \u00eatre des facteurs importants d’exploitabilit\u00e9 et de probabilit\u00e9 d’exploitation g\u00e9n\u00e9ralis\u00e9e.”<\/p>\n Le Centre de partage et d’analyse d’informations sur le commerce de d\u00e9tail et l’h\u00f4tellerie (ISAC) a publi\u00e9 une d\u00e9claration<\/a> qu’il a enqu\u00eat\u00e9 et confirm\u00e9 la “validit\u00e9” du PoC pour la faille RCE, ajoutant qu’il “poursuivait les tests pour confirmer la validit\u00e9 du PoC”.<\/p>\n “L’exploit Spring4Shell dans la nature semble fonctionner contre l’exemple de code stock ‘Handling Form Submission’ de spring.io”, analyste de vuln\u00e9rabilit\u00e9 CERT\/CC Will Dormann mentionn\u00e9<\/a> dans un tweet. “Si l’exemple de code est vuln\u00e9rable, alors je soup\u00e7onne qu’il existe effectivement des applications du monde r\u00e9el qui sont vuln\u00e9rables au RCE.”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701000_960_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1648710030_806_Le-bogue-RCE-de-0-jour-de-Java-Spring-Framework.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n