Une vulnérabilité d’exécution de code à distance (RCE) zero-day a été découverte dans le framework Spring peu de temps après qu’un chercheur en sécurité chinois a brièvement divulgué un exploit de preuve de concept (PoC) sur GitHub avant de supprimer son compte.

Selon la société de cybersécurité Praetorian, la faille non corrigée affecte Spring Core sur les versions 9 et ultérieures du kit de développement Java (JDK) et constitue un contournement pour une autre vulnérabilité identifiée comme CVE-2010-1622, permettant à un attaquant non authentifié d’exécuter du code arbitraire sur le système cible. .

Spring est un framework logiciel permettant de créer des applications Java, y compris des applications Web sur la plate-forme Java EE (Enterprise Edition).

« Dans certaines configurations, l’exploitation de ce problème est simple, car il suffit qu’un attaquant envoie une requête HTTP spécialement conçue à un système vulnérable », ont déclaré les chercheurs Anthony Weems et Dallas Kaman. « Cependant, l’exploitation de différentes configurations obligera l’attaquant à effectuer des recherches supplémentaires pour trouver des charges utiles qui seront efficaces. »

Des détails supplémentaires sur la faille, surnommés « SpringShell » et « Spring4Shell », ont été retenus pour empêcher les tentatives d’exploitation et jusqu’à ce qu’un correctif soit mis en place par les responsables du framework, Spring.io, une filiale de VMware. Un identifiant CVE (Common Vulnerabilities and Exposures) n’a pas encore été attribué.

Il convient de noter que la faille ciblée par l’exploit zero-day est différente des deux vulnérabilités précédentes divulguées dans le cadre de l’application cette semaine, notamment la vulnérabilité DoS de l’expression Spring Framework (CVE-2022-22950) et la vulnérabilité d’accès aux ressources de l’expression Spring Cloud ( CVE-2022-22963).

1 416 / 5 000

Résultats de traduction

Dans l’intervalle, la société recommande « de créer un composant ControllerAdvice (qui est un composant Spring partagé entre les contrôleurs) et d’ajouter des modèles dangereux à la liste de refus ». L’analyse initiale de la nouvelle faille d’exécution de code dans Spring Core suggère que son impact pourrait ne pas être grave. « [L]es informations actuelles suggèrent que pour exploiter la vulnérabilité, les attaquants devront localiser et identifier les instances d’applications Web qui utilisent réellement DeserializationUtils, ce que les développeurs savent déjà être dangereux », a déclaré Flashpoint dans une analyse indépendante. Malgré la disponibilité publique des exploits PoC, « il est actuellement difficile de savoir quelles applications du monde réel utilisent la fonctionnalité vulnérable », a expliqué Rapid7. « La configuration et la version JRE peuvent également être des facteurs importants d’exploitabilité et de probabilité d’exploitation généralisée. » Le Retail and Hospitality Information Sharing and Analysis Center (ISAC) a également publié une déclaration indiquant qu’il avait enquêté et confirmé la « validité » du PoC pour la faille RCE, ajoutant qu’il « poursuivait les tests pour confirmer la validité du PoC ». « L’exploit Spring4Shell dans la nature semble fonctionner contre l’exemple de code stock ‘Handling Form Submission’ de spring.io », a déclaré Will Dormann, analyste des vulnérabilités du CERT/CC, dans un tweet. « Si l’exemple de code est vulnérable, alors je soupçonne qu’il existe effectivement des applications du monde réel qui sont vulnérables au RCE. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *