Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework

08 aprile 2022
Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework

E' stata individuata una vulnerabilità 0-day di esecuzione di codice da remoto e classificata come critica: denominata Spring4Shell, tecnicamente CVE-2022-22965, è presente nelle versioni del framework Java Spring dalla 5.3.0 alla 5.3.17 e dalla 5.2.0 alla 5.2.19 e precedenti.

Spring è un framework open source molto popolare per costruire web application in Java per ambienti aziendali. Gli exploit già pubblicamente disponibili, vista l'ampia diffusione di questo framework, rendono la vulnerabilità molto pericolosa.

Perchè la vulnerabilità CVE-2022-22965 - Spring4Shell è così pericolosa?

Le applicazioni Spring Framework SpringMVC o Spring WebFlux in esecuzione su JDK 9 o versioni successive sono soggette ad esecuzione di codice remoto tramite Data Binding. La vulnerabilità è dovuta ad una impropria gestione delle proprietà della classe Java, che può condurre ad una class injection. Allo stesso tempo, l'input bidning HTTP e una richiesta HTTP appositamente prodotta potrebbero condurre ad un attacco di esecuzione di codice da remoto e compromettere le applicazioni Java prodotte in Spring senza richiedere l'autenticazione del traffico. Stando all'avviso del vendor:

"se l'applicazione è distribuita come un eseguibile jar Spring Boot, cioè l'impostazione predefinita, non sarà vulnerabile all'exploit. Tuttavia, la natura di questa vulnerabilità è più generale e potrebbero esserci anche altre vie per sfruttarla".

Software e versioni vulnerabili

JDK 9 o successivi;
Apache Tomcat come Servlet Container;
Formato del file WAR (Web Application Resource) invece del JAR da impostazione predefinita;
dependency da Spring-webmvc o Spring-webflux;
Spring Framework nelle versioni dalla 5.3.0 alla 5.3.17 e dalla 5.2.0 alla 5.2.19 e precedenti.

Mitigazioni per Spring4Shell

Aggiornare immediatamente a Spring Framework 5.3.18 e 5.2.20 o versioni successive;
riferire all'advisory del vendor;
aggiornare le soluzioni di sicurezza della rete e degli endpoint alle definizioni più recenti.

La CVE-2022-22963 è stata individuata anche nella funzione Spring Cloud, versioni 3.1.6, 3.2.2 e funzionalità di routing precedenti. Gli attaccanti possono sfruttarla inviando un'espressione di routing SpEL approntata appositamente. Le versioni riguardate dovrebbero essere aggiornate alla 3.17 e alla 3.2.3.

La copertura di Seqrite per Spring4Shell

Abbiamo rilasciato regole IPS per individuare e boccare attacchi remoti che tentino di sfruttare Spring4Shell e altre vulnerabilità. Continueremo a monitorare lo sviluppo e l'andamento della probelematica e ad aggiornare i nostri sistemi di individuazione. Consigliamo a tutti i clienti di patchare i propri sistemi in tempo e di mantere il software antivirus aggiornato al più recente Database dei Virus VDB.

Ultime news

Per saperne di più

Aggiornare il certificato di sicurezza per installare correttamente le soluzioni Seqrite

09 maggio 2022

ProblematicaAbbiamo ricevuto segnalazioni, da parte di alcuni utenti, della comparsa di un pop up di errore al momento di installa...

Per saperne di più

Seqrite EPS certificato di nuovo come Top Product da AV-Test

17 febbraio 2022

OPS, we did it again!Seqrite EPS 7.6 è stato certificato dal prestigioso AV-Test Institute, che ha sede in Germania, come "Top Pro...

Per saperne di più

Seqrite EPS certificato come Advanced Approved Endpoint Protection contro attacchi ransomware complessi

14 gennaio 2022

Ormai nessuna azienda è ormai al riparo da dannosi e costosissimi attacchi ransomware. Un ransomware può entrare entro un organizz...

P.IVA: 05345670482

	Global
	Italy
	Japan
	Poland
	LATAM

	Global
	Italy
	Japan
	Poland
	LATAM

PROTEZIONE ENDPOINT E DATI

SICUREZZA GATEWAY

PROTEZIONE SERVER

08 aprile 2022Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework

Perchè la vulnerabilità CVE-2022-22965 - Spring4Shell è così pericolosa?

Mitigazioni per Spring4Shell

La copertura di Seqrite per Spring4Shell

Ultime news

Aggiornare il certificato di sicurezza per installare correttamente le soluzioni Seqrite

Seqrite EPS certificato di nuovo come Top Product da AV-Test

Seqrite EPS certificato come Advanced Approved Endpoint Protection contro attacchi ransomware complessi

Supporto

Risorse

Chi siamo

08 aprile 2022
Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework