A segurança na Internet é um tema constante e de forma recorrente surgem problemas com o novo Spring4Shell. Colocam em causa os utilizadores e os seus dados, bem como os serviços que são fornecidos em cima destas plataformas.
Esta é mais uma falha do Java e dos seus componentes, com um grau de severidade elevado. Depois do Log4j, este é mais um problema grave e que deve ser resolvido com a máxima brevidade, para garantir a segurança de todos.
Spring4Shell: A nova falha do Java
Uma nova investigação levada a cabo por especialistas de segurança revelou mais uma falha no Java. Esta está presente na estrutura Spring Core Java e tem o nome “Spring4Shell”, tendo sido revelada publicamente, CVE-2022-22963, sabendo-se que permite a execução remota de código não autenticado em aplicações.
Segue a mesma linha da conhecida Log4j e tem mesmo grande relevância. Deixa os serviços que usam esta framework vulneráveis e expostos a ataques de vários tipos. O código para a sua exploração está já disponível em certos círculos e sabe-se estar a ser usado.
A Java Springcore RCE 0day exploit has been leaked. It was leaked by a Chinese security researcher who, since sharing and/or leaking it, has deleted their Twitter account.
— vx-underground (@vxunderground) March 30, 2022
We have not verified the exploit.
tl;dr big if true
Download the 0day POC here: https://t.co/SgPCdI00TS
Apps e serviços estão vulneráveis
Apesar de estar ainda a ser avaliada, a nova falha Spring4Shell parece ser extremamente crítica e passível de expor os serviços e apps onde está presente. Se os requisitos forem satisfeitos, é possível colocar ficheiros nos servidores, usados depois para roubar dados.
Uma boa notícia que surgiu, entretanto, veio colocar um pouco de calma neste processo. Uma análise preliminar determinou que é necessária a presença de “Spring Beans”, usar “Spring Parameter Binding” e uma “Spring Parameter Binding” deve ser configurada para usar um tipo de parâmetro não básico, como POJOs.
The following non-malicious request can be used to test susceptibility to the @springframework 0day RCE. An HTTP 400 return code indicates vulnerability.
— Randori Attack Team (@RandoriAttack) March 30, 2022
$ curl host:port/path?class.module.classLoader.URLs%5B0%5D=0#SpringShell #Spring4Shell #infosec
Atualizações são essenciais por agora
A recomendação por agora é a atualização de todas as apps e serviços que usem a versão 9 ou posterior do Java. Espera-se que surjam correções nos próximos dias e que removam a vulnerabilidade Spring4Shell de forma definitiva.
Pensa-se que poderá ter o mesmo impacto que o Log4j teve, e que ainda não foi resolvido em muitos casos. Devido aos requisitos para explorar esta falha, é muito cedo para dizer quantas apps e serviços podem estar vulneráveis.