0
0
Uma vulnerabilidade de zero-day encontrada na popular estrutura de desenvolvimento de aplicativos Java Web A Primavera provavelmente coloca uma grande variedade de aplicativos da Web em risco de ataque remoto, revelaram pesquisadores de segurança em 30 de março.
A vulnerabilidade — apelidada de Spring4Shell e SpringShell por algumas empresas de segurança — causou uma grande confusão nas últimas 24 horas, à medida que os pesquisadores se esforçavam para determinar se o problema era novo ou relacionado a vulnerabilidades mais antigas. Pesquisadores da empresa de serviços de segurança cibernética Praetorian e da empresa de inteligência de ameaças Flashpoint confirmaram independentemente que a exploração ataca uma nova vulnerabilidade, que poderia ser explorada remotamente se um aplicativo Spring for implantado em um servidor Apache Tomcat usando uma configuração comum.
Atualização: Em 31 de março, os mantenedores da Primavera confirmaram que a vulnerabilidade não foi revelada anteriormente, designaram um identificador (CVE-2022-22965) e confirmaram os detalhes neste artigo.
O Spring4Shell provavelmente exigirá uma correção ampla para garantir que as instalações não sejam vulneráveis a compromissos remotos, diz Richard Ford, diretor de tecnologia da Pretoriano.
“O impacto é relativamente amplo em termos do que sabemos ser trivialmente explorável neste momento”, diz ele. “Mesmo as pessoas que executam [configurações não vulneráveis] provavelmente serão recomendadas para corrigir, mesmo que – hoje – não tenhamos um RCE [execução remota de código] funcionando para isso.”
A pesquisa prática da Pretoriana e do Flashpoint acabou com a especulação de uma variedade de profissionais de segurança nas mídias sociais de que o código de prova de conceito realmente explorava vulnerabilidades mais antigas e já corrigidas. A vulnerabilidade alvo da exploração é diferente de duas vulnerabilidades anteriores divulgadas no framework spring esta semana — a vulnerabilidade da Nuvem de Primavera (CVE-2022-22963) e a vulnerabilidade DoS da Expressão de Primavera (CVE-2022-22950), segundo pesquisadores que estudam os problemas.
O ISAC de Varejo e Hospitalidade também emitiu um comunicado afirmando que seus pesquisadores confirmaram a vulnerabilidade.
A Spring, que agora é propriedade e gerenciada pela VMware, está atualmente trabalhando em uma atualização, de acordo com a Praetorian. Neste momento, os atores de ameaças ainda não estão se comunicando sobre a vulnerabilidade, afirmou o Flashpoint em um post no blog.
“A partir desta publicação, os analistas do Flashpoint ainda não observaram tentativas de exploração, ou comunicações de atores de ameaças, em relação à vulnerabilidade do SpringShell”, escreveu o Flashpoint em sua análise inicial, acrescentando: “[C]urrent informações sugerem que, para explorar a vulnerabilidade, os atacantes terão que localizar e identificar instâncias de aplicativos da Web que realmente usam as DeserializaçãoUtils , algo já conhecido pelos desenvolvedores como perigoso. Se for provado que é verdade, o impacto do SpringShell tem o potencial de ser mal interpretado como sendo mais impactante ou generalizado como pode ser.”
Um post no Twitter excluído
Os profissionais de cibersegurança souberam pela primeira vez da vulnerabilidade quando um pesquisador de segurança chinês publicou uma captura de tela do ataque de prova de conceito. Os hackers logo depois derrubaram a captura de tela, possivelmente porque compartilhar informações de vulnerabilidade publicamente sem aprovação do governo é um crime na China. O VX-Underground, um hub de técnicas cibernéticas ofensivas e malware, tuitou sobre o vazamento ao meio-dia de 30 de março.
“Uma exploração java springcore [sic] RCE 0day foi vazada”, afirmou o tweet. “Foi vazado por um pesquisador de segurança chinês que, desde que compartilhamento e/ou vazamento, excluiu sua conta no Twitter.”
Uma vez que os pesquisadores tiveram acesso às capturas de tela, a exploração levou apenas algumas horas para fazer o engenheiro reverso e fazer o ataque funcionar, diz Anthony Weems, principal engenheiro de segurança dos laboratórios de pesquisa do Pretoriano.
O ataque atualmente funciona para aplicativos spring implantados em Tomcat, mas aplicativos spring que usam Spring Boot e Tomcat incorporado, um mecanismo comum de implantação, não são exploráveis. Embora Weems não relacione o ataque à exploração Log4Shell descoberta em dezembro, algumas semelhanças existem.
“Como o Log4j, é algo que sua estrutura está fazendo que você não esperaria que ele fizesse”, diz ele, acrescentando que a semelhança termina aí, já que muitas configurações de frameworks de Primavera não são vulneráveis. “Você tem que ter escolhido a Primavera como sua estrutura de aplicação, e estar usando Tomcat, mas não SpringBoot com Tomcat incorporado. Essa é uma configuração comum que é segura.”
Log4Shell “Muito pior”
No entanto, a vulnerabilidade da estrutura da Primavera não parece tão crítica quanto os problemas encontrados no Log4j, diz Ford do Pretoriano. Os invasores precisam saber o endereço, incluindo o ponto final do aplicativo, para explorar a vulnerabilidade. Além disso, aplicativos não expostos à Internet são seguros, ao contrário de alguns casos com o Log4j.
“O Log4Shell era muito pior, porque a exploração poderia atingir sistemas que não estavam diretamente conectados à Internet”, diz ele. “Neste caso, você vai ser necessário para estar batendo na máquina.”
FONTE: DARK READING