VMware corrige la faille Spring4Shell RCE dans plusieurs produits

VMware patches Spring4Shell RCE flaw in multiple products

VMware a publié des mises à jour de sécurité pour la vulnérabilité critique d’exécution de code à distance connue sous le nom de Spring4Shell, qui affecte plusieurs de ses produits de cloud computing et de virtualisation.

Une liste des produits VMware concernés par Spring4Shell est disponible dans un avis de la société. Lorsqu’un correctif n’est pas disponible, VMware a publié une solution de contournement en tant que solution temporaire.

À l’heure actuelle, il est extrêmement important de suivre les conseils fournis dans le bulletin de sécurité, car Spring4Shell est une vulnérabilité activement exploitée.

Une faille dans un cadre populaire

Spring4Shell, officiellement identifié comme CVE-2022-22965, est une vulnérabilité d’exécution de code à distance dans le framework Spring Core Java qui peut être exploitée sans authentification, avec un score de gravité de 9,8 sur 10.

Cela signifie que tout acteur malveillant ayant accès à des applications vulnérables peut exécuter des commandes arbitraires et prendre le contrôle total d’un système cible.

En raison du déploiement généralisé de Spring Framework pour le développement d’applications Java, les analystes en sécurité craignent des attaques à grande échelle tirant parti de la vulnérabilité Spring4Shell.

Pour aggraver les choses, un exploit de preuve de concept (PoC) fonctionnel a été divulgué sur GitHub avant même qu’une mise à jour de sécurité ne soit disponible, augmentant les risques d’exploitation malveillante et d’attaques «surprises».

Impact et remédiation

La faille critique affecte les applications Spring MVC et Spring WebFlux exécutées sur JDK 9+. L’exploit nécessite que l’application s’exécute sur Tomcat en tant que déploiement WAR, bien que les limitations exactes soient toujours à l’étude.

Les versions fixes des applications sont :

  • Spring Framework 5.3.18 et Spring Framework 5.2.20
  • Démarrage de printemps 2.5.12
  • Spring Boot 2.6.6 (bientôt disponible)

VMWare a revu son portefeuille de produits, et bien que l’enquête se poursuive, les produits ci-dessous ont déjà été déterminé comme impacté:

  • Service d’application VMware Tanzu pour les machines virtuelles – versions 2.10 à 2.13
  • VMware Tanzu Operations Manager – versions 2.8 à 2.9
  • VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) – versions 1.11 à 1.13
Tableau récapitulatif des produits impactés et des versions de fixation
Récapitulatif des produits impactés et des versions corrigées ​​​​​​​(VMware)

Le fournisseur a déjà mis à disposition des mises à jour de sécurité pour les deux premiers produits, couvrant plusieurs branches de version avec des versions ponctuelles, mais un correctif permanent pour VMware Tanzu Kubernetes Grid Integrated Edition est toujours en préparation.

Pour ces déploiements, VMWare a publié instructions de contournement conçu pour aider les administrateurs à sécuriser temporairement leurs systèmes jusqu’à la publication des correctifs.

Une chose à noter est que VMWare a trouvé l’exploitation Spring4Shell complexe dans TKGI, donc les conseils d’atténuation et la mise à jour de sécurité à venir sont fournis pour une confiance maximale des clients et pour éviter les faux positifs.

Néanmoins, les recommandations de sécurité officielles fournies doivent être suivies sans déviations ni retards, pour garantir que vos déploiements sont à l’abri des acteurs de menaces opportunistes.