Les correctifs de printemps ont divulgué la vulnérabilité RCE Zero Day de Spring4Shell

Spring

Spring a publié des mises à jour d’urgence pour corriger la vulnérabilité d’exécution de code à distance « Spring4Shell », qui a fui prématurément en ligne avant la publication d’un correctif.

Hier, un exploit pour une vulnérabilité d’exécution de code à distance de type « zero-day » dans Spring Framework appelé « Spring4Shell » a été brièvement publié sur GitHub, puis supprimé.

Cependant, comme rien ne reste caché sur Internet, le code a été rapidement partagé dans d’autres référentiels et testé par des chercheurs en sécurité, qui ont confirmé qu’il s’agissait d’un exploit légitime pour une nouvelle vulnérabilité.

Tweet d'Alvaro

Aujourd’hui, Spring a publié un avis de sécurité expliquant que la vulnérabilité est désormais identifiée comme CVE-2022-22965 et affecte les applications Spring MVC et Spring WebFlux sur JDK 9.

L’exploitation de la vulnérabilité nécessite également Apache Tomcat, une application packagée en tant que WAR, et les dépendances spring-webmvc ou spring-webflux.

« La vulnérabilité affecte les applications Spring MVC et Spring WebFlux exécutées sur JDK 9+. L’exploit spécifique nécessite que l’application s’exécute sur Tomcat en tant que déploiement WAR », lit le Avis de printemps.

« Si l’application est déployée en tant que jar exécutable Spring Boot, c’est-à-dire la valeur par défaut, elle n’est pas vulnérable à l’exploit. Cependant, la nature de la vulnérabilité est plus générale et il peut y avoir d’autres moyens de l’exploiter. »

Spring dit que la vulnérabilité leur a été divulguée de manière responsable mardi par odeplutos, meizjm3i d’AntGroup FG, et qu’ils avaient développé et testé un correctif qui devait être publié aujourd’hui.

Cependant, après qu’un chercheur en sécurité a publié tous les détails en ligne mercredi, ils ont avancé la publication du correctif avant la sortie prévue.

Les versions de Spring qui corrigent la nouvelle vulnérabilité sont répertoriées ci-dessous, toutes sauf Spring Boot étant disponibles sur Maven Central :

  • Spring Framework 5.3.18 et Spring Framework 5.2.20
  • Démarrage de printemps 2.5.12
  • Spring Boot 2.6.6 (pas encore disponible)

Spring Boot 2.6.6 devrait être publié dans les prochaines heures.

Bien que la vulnérabilité ait des exigences spécifiques pour être exploitée, Will Dormananalyste de vulnérabilité au CERT/CC, trouvé que même un exemple de code de spring.io était vulnérable.

Comme les développeurs utilisent couramment des exemples de code comme modèle pour leurs propres applications, de nombreuses applications vulnérables peuvent être accessibles en ligne.

Les administrateurs de Spring doivent donner la priorité au déploiement de ces mises à jour de sécurité dès que possible, car les scanners Spring4Shell ont déjà été créés et il existe des rapports sur la vulnérabilité déjà activement exploitée dans la nature.