Spring4Shell-Erkennung: Neue Java-Schwachstelle tritt in die Fußstapfen der berüchtigten Log4j

[post-views]
März 31, 2022 · 3 min zu lesen
Spring4Shell-Erkennung: Neue Java-Schwachstelle tritt in die Fußstapfen der berüchtigten Log4j

Wenn der Frühling kommt, blühen die Bugs. Ein neuartiger, höchst schwerwiegender Fehler in der Spring Cloud Function erschien am 29. März 2022 auf dem Radar. Eine leicht auszunutzende Schwachstelle betrifft das Spring Core-Modul – ein Framework, das in Java-Anwendungen verwendet wird, und erfordert JDK9+. Wird die Schwachstelle ausgenutzt, ermöglicht sie Hackern, Angriffe durch Fern-Codeausführung (RCE) auszuführen.

Bisher wird angenommen, dass Spring4Shell das Potenzial einer kritischen Log4j-RCE-Schwachstelle.

Spring4Shell erkennen

Um sicherzustellen, dass Ihr System nicht kompromittiert wurde, nutzen Sie die folgenden Regeln, die vom SOC Prime Team zusammen mit Florian Roth. Die folgenden Regeln erkennen mögliche Versuche der Ausnutzung der SpringCore-RCE-Schwachstelle.

Möglicher anfänglicher Zugriff durch Spring4Shell-Ausnutzungsversuch (über Web)

Mögliche interne laterale Bewegung durch Spring4Shell-Ausnutzungsversuch (Windows) (via process_creation)

Mögliche interne laterale Bewegung durch Spring4Shell-Ausnutzungsversuch (Linux) (via process_creation)

Abgesehen von den obigen Sigma-Erkennungen können Sie die YARA-Regel von Florian Roth nutzen:

Mögliche Spring4Shell-Ausnutzungsmuster – YARA-Regeln

Verfolgen Sie die Aktualisierungen der Erkennungsinhalte im Zusammenhang mit Spring4Shell im Threat Detection Marketplace-Repository der SOC Prime Platform hier. Sind Sie ein Entwickler von Erkennungsinhalten? Treten Sie der weltweit größten Cyber-Verteidigungsgemeinschaft des Threat Bounty-Programms bei und nutzen Sie die Kraft der Cybersecurity-Community, um wiederkehrende Belohnungen für Ihren wertvollen Beitrag zu erhalten.

Alle Inhalte anzeigen Threat Bounty beitreten

Spring4Shell-Exploit-Analyse

Eine neuartige Zero-Day-Schwachstelle Spring4Shell, die derzeit an Dynamik gewinnt, wurde am 29. März 2022 im Spring Framework entdeckt – eines der gefragtesten Frameworks in Java. Die Spring-Anwendung bietet Entwicklern Werkzeuge zum Aufbau von gängigen Mustern in verteilten Systemen. Die neue Schwachstelle in Spring Cloud wurde bereits als Spring4Shell bezeichnet, da sie eine Ähnlichkeit mit der Apache Log4j2-Schwachstelle aufweist, die im Dezember 2021 großes Aufsehen erregte.

Die schwere Auswirkung von SpringShell auf kompromittierte Systeme ist unvermeidlich: Der Exploit, genau wie Log4Shell, ist sehr einfach durchzuführen. Danach können Gegner Skripte erstellen, die das Internet scannen und automatisch anfällige Server ausnutzen, da die Ausnutzung nur einen einfachen HTTP-POST an eine anfällige App erfordert. Bedrohungsakteure können diese Schwachstellen nutzen, um Befehle auf dem Server auszuführen, was ihnen vollständige Fernsteuerung über das infizierte Gerät gewährt.

Darüber hinaus können Spring Cloud Functions in cloudbasierten serverlosen Funktionen wie AWS Lambda und Google Cloud Functions genutzt werden, wodurch Ihre Cloud-Konten zu einem leichtes Ziel für Hacker werden, die das Beste aus dieser Schwachstelle machen möchten.

Es ist unnötig zu erwähnen, dass diese Schwachstelle im Spring-Projekt auf bestimmten Konfigurationen beruht, um erfolgreich ausgenutzt zu werden. In einigen Fällen ist die Ausnutzung dieser Schwachstelle einfach, da ein Angreifer nur eine speziell gestaltete POST-Anfrage an ein Zielsystem senden muss. Die Ausnutzung solcher Setups erfordert jedoch zusätzlichen Zeit- und Ressourcenaufwand des Angreifers, um die Payloads, die auf eine Spring-Anwendung abzielen, richtig zu präparieren und vollständige Kontrolle über das System zu erlangen.

Seit dem 31. März 2022 gibt es keine CVE, die mit dieser speziellen Schwachstelle verbunden ist, obwohl es zwei andere neu offengelegte Schwachstellen im Zusammenhang mit dem Spring-Projekt gibt – CVE-2022-22963 und CVE-2022-22950.

Die potenziellen und tatsächlichen Risiken, die durch diese Spring Core-RCE-Schwachstelle auf reale Anwendungen verursacht werden, sind noch zu bestimmen.

Beitreten SOC Primes Detection-as-Code Plattform, um kontinuierlich die neuesten Updates zur Entwicklung der Bedrohungslandschaft zu erhalten, Ihre Bedrohungsabdeckung zu verbessern und die Angreifer zu übertreffen, indem Sie auf die relevantesten Erkennungsinhalte zugreifen, die mit der MITRE ATT&CK-Matrix abgestimmt sind.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Blog, SOC Prime Plattform — 2 min zu lesen
Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Steven Edwards
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko