La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté lundi la vulnérabilité d’exécution de code à distance (RCE) récemment divulguée affectant Spring Framework à son catalogue de vulnérabilités exploitées connues sur la base de « preuves d’exploitation active ».
La faille de gravité critique, attribuée à l’identifiant CVE-2022-22965 (score CVSS : 9,8) et surnommée « Spring4Shell », affecte les applications Spring model-view-controller (MVC) et Spring WebFlux exécutées sur Java Development Kit 9 et versions ultérieures.
« L’exploitation nécessite un point de terminaison avec DataBinder activé (par exemple, une requête POST qui décode automatiquement les données du corps de la requête) et dépend fortement du conteneur de servlet pour l’application », ont noté les chercheurs prétoriens Anthony Weems et Dallas Kaman la semaine dernière.
Bien que les détails exacts des abus dans la nature ne soient pas clairs, la société de sécurité de l’information SecurityScorecard a déclaré que « l’analyse active de cette vulnérabilité a été observée provenant des suspects habituels comme l’espace IP russe et chinois ».
Des activités d’analyse similaires ont été repérées par l’unité42 d’Akamai et de Palo Alto Networks, les tentatives menant au déploiement d’un shell Web pour l’accès par porte dérobée et à l’exécution de commandes arbitraires sur le serveur dans le but de diffuser d’autres logiciels malveillants ou de se propager au sein du réseau cible. .
Selon les statistiques publiées par Sonatype, les versions potentiellement vulnérables du Spring Framework représentent 81 % du total des téléchargements depuis le référentiel Maven Central depuis que le problème a été révélé le 31 mars.
Cisco, qui enquête activement sur sa gamme pour déterminer lesquels d’entre eux pourraient être touchés par la vulnérabilité, a confirmé que trois de ses produits sont touchés –
Moteur d’optimisation Cisco Crosswork
Cisco Crosswork Zero Touch Provisioning (ZTP) et
Cisco Edge Intelligence
VMware, pour sa part, a également considéré trois de ses produits comme vulnérables, proposant des correctifs et des solutions de contournement le cas échéant –
Service d’application VMware Tanzu pour les machines virtuelles
Gestionnaire des opérations VMware Tanzu et
VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)
« Un acteur malveillant ayant un accès réseau à un produit VMware impacté peut exploiter ce problème pour obtenir le contrôle total du système cible », a déclaré VMware dans l’avis.
La CISA a également ajouté au catalogue deux failles zero-day corrigées par Apple la semaine dernière (CVE-2022-22674 et CVE-2022-22675) et une lacune critique dans les routeurs D-Link (CVE-2021-45382) qui a été activement militarisé par la campagne DDoS basée sur Beastmode Mirai.
Conformément à la directive opérationnelle contraignante (BOD) émise par la CISA en novembre 2021, les agences du pouvoir exécutif civil fédéral (FCEB) sont tenues de remédier aux vulnérabilités identifiées d’ici le 25 avril 2022.