Detección de Spring4Shell: Nueva vulnerabilidad de Java sigue los pasos del notorio Log4j
Tabla de contenidos:
Cuando llega la primavera, los errores florecen. Una nueva y altamente grave falla en Spring Cloud Function apareció en el radar el 29 de marzo de 2022. Una vulnerabilidad fácil de explotar afecta el módulo Spring Core, un framework usado en aplicaciones Java, y requiere JDK9+. Si se explota, esta vulnerabilidad de Spring Core permite a los piratas informáticos ejecutar ataques de ejecución remota de código (RCE).
Hasta ahora, se cree que Spring4Shell tiene un potencial crítico falla RCE de Log4j.
Detectar Spring4Shell
Para asegurar que su sistema no fue comprometido, utilice las siguientes reglas liberadas por el equipo de SOC Prime junto con Florian Roth. Las siguientes reglas detectan posibles intentos de explotación de la vulnerabilidad RCE de SpringCore.
Posible acceso inicial por intento de explotación de Spring4Shell (a través de la web)
Además de las detecciones Sigma anteriores, puede aprovechar la regla YARA liberada por Florian Roth:
Posibles patrones de explotación de Spring4Shell – Reglas YARA
Siga las actualizaciones del contenido de detección relacionado con Spring4Shell en el repositorio de Threat Detection Marketplace de la plataforma SOC Prime aquí. ¿Eres desarrollador de contenido de detección? Únete a la comunidad de ciberdefensa más grande del mundo impulsada por el programa Threat Bounty para aprovechar el poder de la comunidad de ciberseguridad y ganar recompensas recurrentes por tu valiosa aportación.
Ver todo el contenido Únete a Threat Bounty
Análisis del exploit Spring4Shell
Una nueva vulnerabilidad de día cero de Spring4Shell que actualmente está ganando impulso de manera activa fue detectada el 29 de marzo de 2022 en Spring Framework, uno de los frameworks más demandados en Java. La aplicación Spring proporciona herramientas para que los desarrolladores construyan algunos de los patrones comunes en sistemas distribuidos. La nueva vulnerabilidad de Spring Cloud ya ha sido apodada Spring4Shell por su semejanza con la vulnerabilidad de Apache Log4j2 que generó un gran revuelo en diciembre de 2021.
El impacto grave de SpringShell en los sistemas comprometidos es inevitable: el exploit, al igual que Log4Shell, es muy fácil de realizar. Luego, los adversarios pueden crear scripts que escanean Internet y explotan automáticamente servidores susceptibles, ya que la explotación implica solo un simple POST HTTP a una aplicación vulnerable. Los actores de amenazas pueden utilizar estas fallas para ejecutar comandos en el servidor, otorgándoles control remoto completo sobre el dispositivo infectado.
Además, las funciones de Spring Cloud pueden ser utilizadas en funciones sin servidor en la nube como AWS Lambda y Google Cloud Functions, haciendo de tus cuentas en la nube un blanco fácil para hackers ansiosos por aprovechar esta vulnerabilidad.
Es innecesario mencionar que esta falla en el proyecto Spring se basa en configuraciones específicas para ser explotada con éxito. En algunos casos, la explotación de esta falla es sencilla, ya que todo lo que un atacante necesita hacer es enviar una solicitud POST especialmente diseñada a un sistema objetivo. Sin embargo, la explotación de tales configuraciones requerirá una inversión adicional de tiempo y recursos por parte del atacante para envenenar adecuadamente las cargas útiles dirigidas a una aplicación Spring y obtener el control total del sistema.
A partir del 31 de marzo de 2022, no hay CVE asociado con esta falla en particular, aunque hay otras dos vulnerabilidades recién divulgadas relacionadas con el proyecto Spring – CVE-2022-22963 y CVE-2022-22950.
Los riesgos potenciales y reales infligidos por esta vulnerabilidad RCE de Spring Core en aplicaciones reales del mundo real aún están por determinarse.
Únete a la plataforma Detection as Code de SOC Prime para ganar continuamente las últimas actualizaciones sobre los desarrollos del panorama de amenazas, mejorar tu cobertura de amenazas y superar a los atacantes al acceder al contenido de detección más relevante alineado con la matriz MITRE ATT&CK.
