Microsoft a déclaré qu’il suivait actuellement un « faible volume de tentatives d’exploitation » ciblant la vulnérabilité critique d’exécution de code à distance (RCE) de Spring4Shell (alias SpringShell) sur l’ensemble de ses services cloud.
La vulnérabilité Spring4Shell (suivie en tant que CVE-2022-22965) affecte Spring Framework, décrit comme le « framework open source léger le plus largement utilisé pour Java ».
« Microsoft surveille régulièrement les attaques contre notre infrastructure et nos services cloud pour mieux les défendre », l’équipe Microsoft 365 Defender Threat Intelligence mentionné.
« Depuis l’annonce de la vulnérabilité Spring Core, nous avons suivi un faible volume de tentatives d’exploitation sur nos services cloud pour les vulnérabilités Spring Cloud et Spring Core. »
Spring4Shell exploité pour déployer des shells Web
Microsoft a en outre expliqué dans son rapport de lundi que les attaquants pourraient exploiter cette faille de sécurité Spring Core en envoyant des requêtes spécialement conçues aux serveurs exécutant le framework Spring Core pour créer des coques Web dans le répertoire racine de Tomcat.
Les auteurs de menaces peuvent ensuite utiliser ce shell Web pour exécuter des commandes sur le serveur compromis.
Alors que certains ont comparé le niveau de gravité de ce bug de sécurité avec Log4Shell, une vulnérabilité dans la bibliothèque de journalisation omniprésente Apache Log4j basée sur Java, ce n’est pas nécessairement vrai étant donné que Spring4Shell n’affecte que les systèmes avec une configuration très particulière :
- Exécution de JDK 9.0 ou version ultérieure
- Spring Framework versions 5.3.0 à 5.3.17, 5.2.0 à 5.2.19 et versions antérieures
- Apache Tomcat comme conteneur de servlet
- Conditionné sous forme d’archive Web Java (WAR) traditionnelle et déployé dans une instance Tomcat autonome ; les déploiements typiques de Spring Boot utilisant un conteneur de servlet intégré ou un serveur Web réactif ne sont pas affectés
- Tomcat a printemps-webmvc ou printemps-webflux dépendances
Malgré cela, Microsoft affirme que « tout système utilisant JDK 9.0 ou version ultérieure et utilisant Spring Framework ou des frameworks dérivés doit être considéré comme vulnérable ».
Les administrateurs peuvent vérifier leurs serveurs pour déterminer s’ils sont vulnérables aux attaques Spring4Shell à l’aide de cette commande non malveillante (une réponse HTTP 400 est la preuve que le système est vulnérable à au moins un exploit de preuve de concept (PoC) accessible au public) :
curl host:port/path?class.module.classLoader.URLs%5B0%5D=0
Avertissements d’exploitation en cours
La découverte par Microsoft d’attaques en cours déployant des exploits Spring4Shell contre son infrastructure cloud intervient après l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues.
Un rapport de Check Point publié mardi estime que les tentatives d’exploitation CVE-2022-22965 ont déjà ciblé environ 16 % de toutes les organisations vulnérables à Spring4Shell.
Sur la base de statistiques de télémétrie de source interne, les chercheurs de Check Point détecté environ 37 000 tentatives d’exploitation Spring4Shell au cours du seul week-end dernier.
Lundi, VMware a également publié des mises à jour de sécurité pour corriger la faille Spring4Shell affectant plusieurs de ses produits de cloud computing et de virtualisation.