El 29 de marzo de 2022, VMware reveló al público una vulnerabilidad en Spring Framework . Esta vulnerabilidad tenía varios requisitos previos que afectaban el impacto:

• Spring Framework versiones 5.3.0-5.3.17, 5.2.0-5.2.19, potencialmente versiones de software anteriores a 5.2.x
• Una aplicación que se ejecuta como un objeto Spring MVX o WebFlux
• Apache Tomcat como contenedor para esa aplicación
• La aplicación empaquetada como recurso de aplicación web (WAR)

Específicamente, esta vulnerabilidad apunta a la clase ClassLoader(), aunque es probable que existan vulnerabilidades similares no descubiertas en otras clases. Se puede pasar un parámetro URI a Tomcat como parte de una solicitud web estándar para aprovechar esta vulnerabilidad.

¿Cuál es la amenaza?

CVE-2022-22965 es una vulnerabilidad que puede afectar a los sistemas en los que se ha instalado Spring Framework y que expone las aplicaciones Spring MVC o WebFlux que se ejecutan en JDK 9 o posterior. El exploit asociado con esta vulnerabilidad requiere Apache Tomcat y que las aplicaciones se implementen como recursos de aplicaciones web (WAR), pero las empresas deben considerar que también son posibles otros métodos de explotación.

¿Cuál es el impacto?

Si se explota con éxito, la vulnerabilidad Spring4Shell puede permitir que un adversario ejecute código arbitrario (incluido malware) en el contexto del servidor web. Debido a que se requieren software, versiones y configuraciones específicas como requisitos previos, las empresas deben esperar un impacto menor que una vulnerabilidad como Log4Shell . Si bien Spring4Shell tiene requisitos previos más específicos para causar impacto, Elastic Security aún recomienda seguir la guía oficial con respecto a parches y actualizaciones.

Aprovechamiento de Elastic para la detección de exploits

Las protecciones preconstruidas que identifican genéricamente los aspectos de la explotación exitosa ya existen en los repositorios orientados a la comunidad:

• Detección de Webshell: proceso de secuencia de comandos hijo de procesos web comunes
• Shell potencial a través del servidor web

Además, Elastic proporciona docenas de reglas para técnicas comunes y poco comunes posteriores a la explotación, que pueden aparecer en etapas posteriores de un intento de intrusión.

Artefactos

El repositorio de reglas de detección orientadas a la comunidad de Elastic contiene dos reglas específicas para la explotación posterior del servidor web. Debido a la naturaleza impredecible de las vulnerabilidades, cualquier regla posterior a la explotación proporcionada por Elastic puede ser útil para detectar o comprender un intento de intrusión relacionado con Spring4Shell. Para las empresas que buscan comprender mejor esta vulnerabilidad, considere esta excelente descripción general del miembro de la comunidad de Elastic, Stijn Holzhauer.

Recomendaciones defensivas

Las empresas deben seguir la guía proporcionada por Spring en su anuncio de divulgación oficial y tratar de parchear o actualizar el marco de Spring. Además, para aquellos que no puedan abordar la vulnerabilidad en Spring, también se ha lanzado un parche para cerrar esta vulnerabilidad en Apache Tomcat (versiones mínimas 10.0.20, 9.0.62, 8.5.78). Además, es posible configurar disallowedFields para neutralizar vulnerabilidades relacionadas con abusos de vinculación de datos.

Referencias

• Spring Framework RCE, anuncio anticipado
• CVE-2022-22965: Spring Framework RCE mediante enlace de datos en JDK 9+
• Uso de la pila de Elastic para detectar posibles solicitudes maliciosas y explorar la exposición a la falla de RCE en Java Spring Framework.

¿Aún no usas Elastic Security? Siempre puedes comenzar con una prueba gratuita de 14 días de Elastic Cloud.