10 فروردین، نمونه اکسپلویتی در GitHub منتشر شد که در آن نحوه بهرهجویی از یک آسیبپذیری روز-صفر در Spring Framework نمایش داده شده بود. اگر چه اکسپلویت خیلی زود از روی GitHub حذف شد اما همان مدت کم برای دانلود آن توسط مهاجمان و البته محققان کافی بود.
Spring Framework یکی از پراستفادهترین چارچوبهای متنباز برای برنامهنویسی و توسعه برنامههای تحت Java است.
آسیبپذیری مذکور که به آن شناسه CVE-2022-22965 تخصیص داده شده و بسیاری منابع با عنوان Spring4Shell یا SpringShell از آن یاد کردهاند، ضعفی از نوع Remote Code Execution یا همان RCE است.
در ابتدا در مورد میزان شدت و درجه خطر آن اختلافنظرهایی وجود داشت؛ اما یافتههای بعدی همگان را متوجه اهمیت و حساسیت بالای آن کرد.
نسخ 5.3.0 تا 5.3.17 و 5.2.0 تا 5.2.19 و نسخ پایینتر Spring Framework در صورت فراهم بودن چندین پیشنیاز دیگر از جمله اجرا بر روی نسخه 9 یا نسخ بالاتر JDK نسبت به CVE-2022-22965 آسیبپذیر تلقی میشوند.
11 فروردین، با عرضه نسخ 5.3.18 و 5.2.20، آسیبپذیری CVE-2022-22965 برطرف شد.
آژانس CISA ایالات متحده، 12 فروردین با انتشار یک اطلاعیه از تمامی سازمانها و آژانسهای فدرال این کشور خواست تا نسبت به ارتقای محصولات آسیبپذیر به Spring4Shell اقدام کنند. CISA، دوشنبه نیز CVE-2022-22965 را به فهرست آسیبپذیریهایی که سوءاستفاده از آنها توسط هکرها و مهاجمان مسجل شده اضافه کرد.
بر اساس گزارشی که شرکت Check Point سهشنبه آن را منتشر کرد 16 درصد از سازمانهایی که محصولات و سامانههای آنها به نحوی به Spring4Shell آسیبپذیر است حداقل یکبار ظرف چند روز گذشته هدف مهاجمان قرار گرفتهاند. به گفته این شرکت تنها طی 4 روز حدود 37 هزار حمله مبتنی بر Spring4Shell سازمانهای تحت رصد محصولات این شرکت را هدف قرار داده است.
با توجه به گستردگی استفاده از Spring Framework در محصولات نرمافزاری و سختافزاری مختلف انتظار میرود انتشار نسخ جدید توسط سازندگان محصولات مذکور، هفتهها و یا حتی ماهها به طول بینجامد.
علاقمندان به مطالعه و تحقیق در خصوص این آسیبپذیری را به لینک زیر ارجاع میدهیم:
https://github.com/tweedge/springcore-0day-en
جامعه Spring نیز جزییات CVE-2022-22965 و بهروزرسانیهای عرضهشده را در لینک زیر در دسترس قرار داده است:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
دو آسیبپذیری دیگر
Spring4Shell تنها آسیبپذیری اخیر Spring Framework نیست.
به گزارش شرکت رامونا پردازش نگار، در هفته دوم فرودین امسال، یک ضعف امنیتی «حیاتی» با شناسه CVE-2022-22963 در Spring Cloud Function ترمیم شد. مهاجم با افزودن یک سرایند دستکاریشده HTTP به درخواست ارسالی به ماژول Spring Cloud Function میتواند سرور را وادار به اجرای برنامه مورد نظر خود کند. این آسیبپذیری در نسخ 3.1.7 و 3.2.3 ماژول مذکور برطرف شده است.
همچنین در این ماه، VMware با انتشار نسخ 3.1.1 و 3.0.7 ضعفی از نوع «تـزریق کـد» (Code Injection)، با شـناسه CVE-2022-22947 را در Spring Cloud Gateway ترمیم کرد.
نمونه کدهای بهرهجو (PoC) هر دوی این آسیبپذیریها از مدتی پیش در دسترس قرار گرفته است. لذا ارتقا به نسخ غیرآسیبپذیر به راهبران هر یک از این محصولات توصیه اکید میشود.
