Kwetsbaarheden in Spring Framework

Deze liveblog bevat informatie over kwetsbaarheden in het Spring Framework. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 8 april 2022.

Update 8 april 2022

10:00 | Net als tijdens de Log4J kwetsbaarheid, heeft het NCSC een GitHub pagina met verschillende overzichten gepubliceerd met betrekking tot de kwetsbaarheden in het Spring Framework. Dit overzicht wordt in samenwerking met verschillende securitybedrijven onderhouden.

De GitHub pagina bevat de volgende onderwerpen:

Een overzicht van scripts/applicaties en adviezen om de aanwezigheid of misbruik van kwetsbare implementaties te detecteren
Een overzicht van mogelijk geraakte software
Een overzicht van mogelijk geraakte services

Call to Action:

Stel vast welke applicaties worden gebruikt binnen uw organisatie. Focus hierbij initieel op applicaties die direct vanaf het internet te benaderen zijn, zonder tussenkomst van een SSL VPN verbinding
Ga na welke applicaties kwetsbaar zijn
- Er zijn verschillende scan/check scripts beschikbaar die kunnen helpen bij het identificeren van kwetsbare applicaties
Installeer een patch of pas een workaround toe wanneer deze beschikbaar zijn

Update 31 maart 2022

17:00 | Op 31 maart heeft Spring een blog gepubliceerd met betrekking tot de “Spring4Shell” kwetsbaarheid, die zich bevindt in het Spring Core Framework. Inmiddels is er een CVE-nummer toegekend aan de kwetsbaarheid: CVE-2022-22965.

Daarnaast is er een patch beschikbaar. Het advies is om het Spring Framework te updaten naar versie 5.3.18 of 5.2.20. Alle versies ouder dan 5.3.18 en 5.2.20 zijn kwetsbaar voor CVE-2022-22965. Wanneer het niet mogelijk is om de updates toe te passen, wordt er in de blog van Spring een mogelijke workaround beschreven.

10:00 | Op 29 maart is een patch uitgebracht voor het Spring Framework, een open source product dat wordt beheerd door VMware. De patch dicht de kwetsbaarheid met kenmerk CVE-2022-22963. De kwetsbaarheid bevindt zich in de routeringsfunctionaliteit van de Spring Cloud Function. Er zijn meerdere potentiële exploits gepubliceerd die deze kwetsbaarheid misbruiken.

Daarnaast is een nieuwe zero-day kwetsbaarheid in het Spring Core Framework openbaar gemaakt, genaamd “Spring4Shell”. Aan deze kwetsbaarheid is nog geen CVE-nummer toegewezen. Middels deze kwetsbaarheid kan een aanvaller ongeautoriseerd code op afstand uitvoeren.

We adviseren om te controleren of u een kwetsbare versie van Spring Cloud Function gebruikt, en zo snel mogelijk de beschikbare software update te installeren. Momenteel is er geen update beschikbaar voor “Spring4Shell”. We adviseren om de updates goed in de gaten te houden en deze te installeren zodra deze beschikbaar zijn.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Potentieel risico

Kwetsbaarheid CVE-2022-22963 heeft een CVSS-score van 5,4. In het advies gepubliceerd door VMware staat beschreven dat een aanvaller toegang kan krijgen door een speciaal SpEL verzoek te versturen als routeringsexpressie bij het gebruik van de routeringsfunctionaliteit. De CVSS-score kan echter onjuist zijn, omdat de impact van de kwetsbaarheid mogelijk groter is dan initieel verwacht. Er zijn niet-geverifieerde exploits gepubliceerd, die een aanvaller in staat stellen om unauthenticated remote code execution uit te voeren.

Aan de “Spring4Shell” kwetsbaarheid is inmiddels CVE-2022-22965 gekoppeld. Het misbruiken van deze kwetsbaarheid heeft verschillende randvoorwaarden en vereist meerdere kwaadaardige verzoeken om een unauthenticated remote code execution aanval uit te voeren. Waarschijnlijke zijn er verschillende manieren op deze kwetsbaarheid te misbruiken. Op dit moment worden meerdere exploits die zich in een vroeg stadium bevinden online gedeeld.

Met beide kwetsbaarheden kan een aanvaller kwaadaardige verzoeken versturen om zo ongeautoriseerd code op afstand uit uitvoeren. Verschillende proof-of-concept exploits zijn openbaar gemaakt, waardoor aanvallers de exploits verder kunnen ontwikkelen en verbeteren.

Detailinfo

In het advies van VMware voor de CVE-2022-22963 kwetsbaarheid worden de Spring Cloud Function versies 3.1.6, 3.2.2 en oudere niet-ondersteunde versies beschreven als kwetsbaar.

De “Spring4Shell” kwetsbaarheid kan alleen worden misbruikt op systemen met JDK 9 of hoger. Om welke versies van Spring Core Framework het gaat, is op dit moment niet bekend.

Het advies is om Spring Cloud Function te upgraden naar versie 3.1.7 of 3.2.3.

Momenteel is er geen patch beschikbaar voor de “Spring4Shell” kwetsbaarheid. Als tijdelijke oplossing wordt geadviseerd om DataBinder te “patchen” door de kwetsbare veldtypes die nodig zijn voor exploitatie toe te voegen aan de blacklist. Meer informatie hierover is te vinden in het artikel van LunaSec.

Achtergrond

Meer informatie:

CVE-2022-22963
Spring4Shell
- NCSC advisory
- Spring blog
Algemeen
- Sans security informatie
- Mitigerende stappen

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.