Spring4Shell - Spring Core RCE

Proto: N010422.

Con la presente CERT-Yoroi desidera informarla riguardo una grave vulnerabilità su Spring Framework, nota con identificativo CVE-2022-22965 e conosciuta con l’alias Spring4shell.

La falla risiede nella errata implementazione delle politiche di sicurezza delle funzioni che utilizzano l'annotazione @RequestMapping e i parametri POJO (Plain Old Java Object). Per cui un attaccante di rete non autenticato può forgiare specifiche richieste http verso il server vulnerabile ed ottenere l’esecuzione di comandi arbitrari.

Dopo la pubblicazione del PoC (0-day) da parte di un ricercatore di terze parti il 30 Marzo, il vendor Spring ha confermato la vulnerabilità in un apposito bollettino di sicurezza del 31 marzo, nel quale ha fornito gli aggiornamenti di sicurezza correttivi Spring Framework versioni 5.3.18 e 5.2.20. Sono stati successivamente rilasciati in altri repository gli strumenti tecnici in grado di sfruttare la falla.

Si precisa inoltre che nei giorni precedenti è stata scoperta una vulnerabilità analoga (CVE-2022-22963) che colpisce esclusivamente il componente Spring Cloud, non facente parte di Spring Framework; anche questa falla permette di eseguire codice arbitrario da remoto sfruttando la funzionalità “routing”. In questo caso è possibile aggiornare alle versioni 3.17 e 3.23 per correggere la vulnerabilità, ulteriori informazioni sono disponibili nel bollettino di sicurezza.

A questo proposito, Yoroi suggerisce di verificare l’esposizione degli applicativi Spring su internet e di pianificare gli aggiornamenti di sicurezza al più presto.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index