Erkennung von CVE-2022-22965: Updates zur Spring Framework RCE
Inhaltsverzeichnis:
Im März 2022 wurden mehrere neuartige Schwachstellen im Java Spring-Framework offengelegt. Einer dieser Fehler betrifft eine Komponente in Spring Core, die es Angreifern ermöglicht, ein Webshell zu platzieren, das Remote Command Execution (RCE) gewährt.
Ab dem 5. April 2022 wird die SpringShell-Schwachstelle verfolgt als CVE-2022-22965 nun als kritisch eingestuft.
CVE-2022-22965 Erkennung
Angesichts der aktuellen Exploitation-Tendenzen von CVE-2022-22965 und seines Potentials, weit verbreitet aktiv zu werden, ist es entscheidend, effiziente Erkennungsansätze sicherzustellen. Zusätzlich zu den bereits veröffentlichten Erkennungsinhalten im Zusammenhang mit CVE-2022-22965 im Threat Detection Marketplace-Repository der SOC Prime Platform, das folgende frische Sigma Regel inspiziert die Werte allgemeiner HTTP-Anforderungsheader, Body, URI und Abfragezeichenfolge auf Muster, die auf Java-Deserialisierung-RCE-Versuche hinweisen:
Diese Erkennung hat Übersetzungen für folgende SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB und Open Distro.
Die Regel ist auf den neuesten MITRE ATT&CK® Framework v.10 abgestimmt und adressiert die
Lateral Movement und Initial Access Taktiken mit Exploitation of Remote Services (T1210) und Exploit Public-Facing Application (T1190) als Haupttechniken.
Die Regel wurde von unserem erstklassigen Threat Bounty Entwickler Nattatorn Chuensangarun.
veröffentlicht. Neben den oben genannten Sigma-Erkennungen können Sie die von talentierten Entwicklern veröffentlichten Snort-Regeln nutzen Sittikorn Sangrattanapitak and Kaan Yeniyol, die keinen Trick verpassen:
CVE-2022-22965-Angriffserkennung entdeckt – Snort-Regeln
Mögliche Webshell-Aktivität über Spring4Shell – Snort-Regeln
Folgen Sie den Updates zu Erkennungsinhalten im Zusammenhang mit CVE-2022-22965 (auch bekannt als Spring4Shell oder SpringShell) im Threat Detection Marketplace-Repository der SOC Prime Platform hier. Sind Sie ein erfahrener Entwickler von Bedrohungserkennungsinhalten? Nutzen Sie die Kraft der weltweit größten Cyberabwehr-Community, angetrieben vom Threat Bounty Program, teilen Sie Ihre Erkennungsinhalte und verdienen Sie wiederkehrende Belohnungen für Ihren wertvollen Input.
Alle Inhalte anzeigen Threat Bounty beitreten
CVE-2022-22965-Exploit-Minderung
Vor dem Hintergrund der Details, Schwere und Anfälligkeit von CVE-2022-22965 für Exploits qualifiziert sich die Schwachstelle dafür, auf lange Sicht großen Schaden zu verursachen. Selbst sein Spitzname, Spring4Shell, verweist auf die brutale Log4Shell, eine Zero-Day-RCE-Schwachstelle in Apache Log4j, die erstmals am 24. November 2021 gemeldet wurde.
Um CVE-2022-22965 erfolgreich auszunutzen, muss die Anwendung als WAR-Deployment auf Tomcat ausgeführt werden. Andernfalls ist sie nicht anfällig. Dennoch warnen Sicherheitsforscher, dass dies keine Allheilmittel gegen Exploits ist, angesichts der Natur der Schwachstelle. Schutz gegen den CVE-2022-22965-Exploit erfordert, dass Benutzer ihre Version von Spring auf 5.3.18 oder 5.2.20 aktualisieren. Das Upgrade der Framework-Version reicht aus, um CVE-2022-22965 in Spring-Anwendungen zu patchen.
Für weitere Details zu dieser Schwachstelle, verweisen Sie bitte auf die CVE-2022-22965 Analyse , veröffentlicht auf dem SOC Prime Blog am 31. März 2022.
Treten Sie derDetection as Code Plattform von SOC Primebei, um Zugang zum weltweit größten Live-Pool an Erkennungsinhalten zu erhalten, erstellt von Branchenführern.SOC Prime, mit Hauptsitz in Boston, USA, wird von einem internationalen Team erfahrener Experten unterstützt, die sich der Ermöglichung einer kollaborativen Cyberabwehr verschrieben haben. Bleiben Sie mit der globalen Cybersicherheits-Community verbunden, um Angriffe einfacher, schneller und effizienter zu bestehen.
