Уязвимость в фреймворке Spring ставит под угрозу множество web-приложений

Уязвимость в популярном фреймворке Spring для разработки web-приложений на Java потенциально ставит множество web-приложений под угрозу удаленных кибератак.

Уязвимость, получившая название Spring4Shell и SpringShell, вызвала огромный ажиотаж среди ИБ-экспертов за последние 24 часа. В частности, исследователи безопасности пытались выяснить, является ли проблема новой, или проистекает из более старой уязвимости.

По данным специалистов из Praetorian и Flashpoint , уязвимость новая, и проэксплуатировать ее можно удаленно, если приложение Spring развернуто на сервере Apache Tomcat с распространенной конфигурацией. Для эксплуатации уязвимости атакующему необходимо установить местоположение и идентифицировать установки web-приложения, использующие DeserializationUtils. Уязвимость не затрагивает приложения Spring, использующие Spring Boot и встроенный Tomcat.

Для Spring4Shell (идентификатор CVE ей еще не присвоен), вероятно, потребуется широкое обновление , чтобы гарантировать безопасность установок, пояснил старший технический директор Praetorian Ричард Форд (Richard Ford).

По словам Форда, проэксплуатировать уязвимость очень просто, и пользователям необходимо будет как можно скорее установить обновления, над которыми Spring уже работает. По данным специалистов Flashpoint, обсуждение уязвимости в киберпреступном сообществе пока не ведется.

ИБ-эксперты впервые узнали об уязвимости, когда один из китайских исследователей опубликовал твит со скриншотом PoC-атаки. Однако вскоре твит был удален, очевидно потому, что в Китае публикация информации об уязвимостях без разрешения правительства является преступлением. На VX-Underground сведения о Spring4Shell появились в середине дня 30 марта.

Получив доступ к скриншотам, ИБ-эксперты всего за несколько часов смогли осуществить реверс-инжиниринг эксплоита и воспроизвести атаку.