Detectar CVE-2022-22965: Actualizaciones sobre la ejecución remota de código en Spring Framework
Tabla de contenidos:
En marzo de 2022, se revelaron varias vulnerabilidades novedosas en el marco Java Spring. Una de estas fallas afecta un componente en Spring Core, permitiendo a los adversarios desplegar un webshell, otorgando Ejecución de Comandos Remotos (RCE).
A partir del 5 de abril de 2022, se ha confirmado que la vulnerabilidad SpringShell rastreada como CVE-2022-22965 es ahora confirmada de gravedad crítica.
Detección de CVE-2022-22965
Dadas las tendencias actuales de explotación de CVE-2022-22965 y su potencial para estar ampliamente extendida, es vital asegurar enfoques de detección eficientes. Además del contenido de detección relacionado con CVE-2022-22965 en el repositorio del Threat Detection Marketplace de la plataforma SOC Prime, la siguiente Sigma regla inspecciona los valores de los encabezados comunes de solicitudes HTTP, cuerpo, URI y cadena de consulta en busca de patrones que indiquen intentos de RCE por deserialización de Java:
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB y Open Distro.
La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando las tácticas de
Movimiento Lateral y Acceso Inicial con Explotación de Servicios Remotos (T1210) y Explotación de Aplicaciones Públicas (T1190) como las principales técnicas.
La regla fue lanzada por nuestro desarrollador de Threat Bounty de primera categoría Nattatorn Chuensangarun.
Además de las detecciones Sigma anteriores, puedes aprovechar las reglas Snort lanzadas por el talentoso Sittikorn Sangrattanapitak and Kaan Yeniyol, que nunca pasan por alto un truco:
Intento de Explotación de CVE-2022-22965 Detectado – Reglas Snort
Actividad Potencial de Webshell a través de Spring4Shell – Reglas Snort
Sigue las actualizaciones del contenido de detección relacionado con CVE-2022-22965 (también conocido como Spring4Shell o SpringShell) en el repositorio Threat Detection Marketplace de la plataforma SOC Prime aquí. ¿Eres un desarrollador experimentado de contenido de detección de amenazas? Aprovecha el poder de la mayor comunidad de defensa cibernética del mundo impulsada por el Threat Bounty Program, comparte tu contenido de detección y gana recompensas recurrentes por tu valiosa colaboración.
Ver Todo el Contenido Únete a Threat Bounty
Mitigación de la Explotación de CVE-2022-22965
Teniendo en cuenta los detalles de CVE-2022-22965, su gravedad y susceptibilidad a explotaciones, la vulnerabilidad califica para causar un gran daño a largo plazo. Incluso su apodo, Spring4Shell, se refiere a la brutal Log4Shell, una vulnerabilidad de día cero RCE en Apache Log4j reportada por primera vez el 24 de noviembre de 2021.
Para explotar exitosamente CVE-2022-22965, se requiere que la aplicación corra en Tomcat como un despliegue WAR. De lo contrario, no es vulnerable. Sin embargo, los investigadores de seguridad advierten que no es una panacea para las explotaciones, dada la naturaleza de la vulnerabilidad. La protección contra la explotación de CVE-2022-22965 requiere que los usuarios actualicen su versión de Spring a 5.3.18 o 5.2.20. Actualizar la versión del marco es suficiente para parchear CVE-2022-22965 en aplicaciones Spring.
Para más detalles sobre esta vulnerabilidad, por favor refiérase al análisis de CVE-2022-22965 publicado en el blog de SOC Prime el 31 de marzo de 2022.
Únete ala plataforma SOC Prime Detection as Codepara desbloquear el acceso al mayor conjunto en vivo del mundo de contenido de detección creado por los líderes de la industria.SOC Prime, con sede en Boston, EE. UU., está impulsado por un equipo internacional de expertos experimentados dedicados a habilitar la defensa cibernética colaborativa. Mantente conectado a la comunidad global de ciberseguridad para resistir los ataques de manera más fácil, rápida y eficiente.
