Pourquoi la faille Spring4Shell est importante, et que faire pour la corriger

Pourquoi la faille Spring4Shell est importante, et que faire pour la corriger

Microsoft demande aux clients de son service de cloud computing Azure de corriger le bug récemment divulgué, une vulnérabilité d’exécution de code à distance (RCE) classée critique, étiquetée CVE-2022-22965 et surnommée SpringShell ou Spring4Shell.

Le nom provient d’un bug redoutable, Log4Shell, affectant un autre utilitaire de journalisation d’applications basé sur Java.

Bien que la gravité du bug ait fait l’objet d’un débat initial, l’enquête menée par les chercheurs en sécurité dans les jours qui ont suivi la découverte de la faille a révélé que Spring4Shell était effectivement une faille sérieuse qui méritait l’attention.

publicité

Gravité avérée

Le 1er avril, l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a exhorté toutes les organisations américaines, y compris les agences fédérales, à appliquer des correctifs immédiatement. Le 4 avril, la CISA a ajouté Spring4shell à son catalogue des vulnérabilités exploitées connues, obligeant les agences fédérales à la corriger dans un délai donné.

Le framework Spring est « le framework open source léger le plus largement utilisé pour Java », note Microsoft. Le bug se trouve dans le kit de développement Java (JDK) à partir de la version 9.0 si le système utilise également les versions 5.3.0 à 5.3.17, 5.2.0 à 5.2.19 et les versions antérieures de Spring Framework.

« Dans le Java Development Kit (JDK) version 9.0 ou ultérieure, un attaquant distant peut obtenir un objet AccessLogValve par le biais de la fonction de liaison de paramètres du framework et utiliser des valeurs de champ malveillantes pour déclencher le mécanisme de pipeline et écrire dans un fichier dans un chemin arbitraire, si certaines conditions sont remplies », rapporte l’équipe de renseignement sur les menaces Defender de Microsoft.

D’autres conditions sont requises pour l’exploitation : Apache Tomcat doit ainsi servir de conteneur de servlets, l’application doit être emballée comme une archive web Java traditionnelle (WAR) et déployée dans une instance Tomcat autonome. Cependant, Spring Boot est le plus souvent déployé comme un conteneur de servlets intégré ou un serveur web réactif, des configurations qui ne sont pas affectées.

« Tout système utilisant le JDK 9.0 ou une version ultérieure et utilisant le Spring Framework ou des frameworks dérivés doit être considéré comme vulnérable », note Microsoft.

Effet de bord

Microsoft note que le seul exploit fonctionnel, une preuve de concept, ne peut être utilisé qu’à distance sur un serveur Tomcat via son module de journalisation en utilisant certaines commandes. Un attaquant peut modifier les journaux d’accès par défaut dans le fichier qu’il souhaite en émettant des requêtes sur le web. Un attaquant peut alors modifier le contenu d’un serveur ou d’une application web.

Tout comme Log4Shell, l’impact de Spring4Shell se fait sentir par son inclusion dans d’autres produits. La société d’hyperviseurs VMware, par exemple, a averti que ses services Tanzu pour les machines virtuelles et les logiciels de conteneurs étaient affectés.

« L’exploit actuel exploite le même mécanisme que celui de CVE-2010-1622, en contournant la correction du bug précédent. Java 9 a ajouté une nouvelle technologie appelée Java Modules », évalue Microsoft.

Les équipes de sécurité intéressées par une recherche sur le sujet peuvent se référer à ce billet d’utilisateur sur GitHub. L’équipe responsable de Spring a également expliqué le correctif et la vulnérabilité ici.

Les failles comprennent CVE-2022-22947, qui a affecté les produits Tanzu de VMware, ainsi que CVE-2022-22963 et CVE-2022-22965, affectant les applications Java.

Premières tentatives d’exploitation

Check Point continue à voir des tentatives d’exploitation de ces vulnérabilités, et dispose de données qui suggèrent que 16 % des organisations dans le monde ont vu des tentatives d’exploitation de ces failles. La plupart des clients ciblés étaient basés en Europe. Au cours du premier week-end depuis que la vulnérabilité a été découverte, Check Point a déclaré avoir vu environ 37 000 tentatives d’attribution de la vulnérabilité Spring4Shell.

« L’industrie la plus touchée est celle des fournisseurs de logiciels, où 28 % des organisations ont été touchées par la vulnérabilité », indique Check Point. Viennent ensuite les secteurs de l’éducation et de la recherche, ainsi que les assurances et les services juridiques.

« Les organisations utilisant Java Spring doivent immédiatement revoir leurs logiciels et les mettre à jour vers les dernières versions en suivant les conseils officiels du projet Spring », indique Check Point.

Java est largement utilisé pour créer des applications logicielles d’entreprise. Microsoft conseille aux clients utilisant Windows 11 de surveiller les clés de registre par le biais des politiques de gestion des appareils mobiles (MDM) afin de s’assurer que les paramètres de sécurité n’ont pas été modifiés. Il est également recommandé d’utiliser le contrôle intégré Windows Defender Application Control (WDAC) pour atténuer les attaques au niveau du noyau.

Microsoft ajoute avoir « suivi un faible volume de tentatives d’exploitation » dans ses services propres services cloud pour ces vulnérabilités.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *