Détecter CVE-2022-22965 : Mises à jour sur l’exécution de code à distance du Spring Framework
Table des matières :
En mars 2022, plusieurs nouvelles vulnérabilités du framework Java Spring ont été divulguées. L’une de ces failles affecte un composant de Spring Core, permettant aux adversaires de déposer un webshell et d’accorder l’exécution de commande à distance (RCE).
À partir du 5 avril 2022, la vulnérabilité SpringShell suivie sous le nom CVE-2022-22965 est désormais confirmée d’une gravité critique.
Détection CVE-2022-22965
Compte tenu des tendances actuelles d’exploitation de CVE-2022-22965 et de son potentiel à se propager activement, il est vital d’assurer des approches de détection efficaces. En plus du contenu de détection précédemment publié lié à CVE-2022-22965 dans le dépôt Threat Detection Marketplace de la plateforme SOC Prime, la règle suivante Sigma inspecte les valeurs des en-têtes de requête HTTP courants, le corps, l’URI et la chaîne de requêtes pour détecter des motifs indiquant des tentatives de déserialization Java RCE :
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, et Open Distro.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant les techniques de tactique de
Mouvement latéral et Accès initial avec Exploitation des services à distance (T1210) et Exploiter une application accessible au public (T1190) comme principales techniques.
La règle a été publiée par notre développeur des primes de menaces de premier plan Nattatorn Chuensangarun.
Outre les détections Sigma ci-dessus, vous pouvez exploiter les règles Snort publiées par le talentueux Sittikorn Sangrattanapitak and etet
, qui ne manquent jamais un truc :
Tentative d’exploitation CVE-2022-22965 détectée – Règles Snort
Activité potentielle de Webshell via Spring4Shell – Règles Snort Suivez les mises à jour du contenu de détection lié à CVE-2022-22965 (alias Spring4Shell ou SpringShell) dans le dépôt Threat Detection Marketplace de la plateforme SOC Prime. Êtes-vous un développeur de contenu de détection expérimenté ? Exploitez la puissance de la plus grande communauté mondiale de défense cybernétique propulsée par le programme de primes de menaces, partagez votre contenu de détection et gagnez des récompenses récurrentes pour votre précieux apport.
Voir tout le contenu Rejoindre la prime de menaces
Atténuation du CVE-2022-22965
En tenant compte des détails, de la gravité et de la susceptibilité aux exploits de CVE-2022-22965, la vulnérabilité est qualifiée pour pouvoir causer de grands dommages à long terme. Même son surnom, Spring4Shell, fait référence à la brutale Log4Shell, une vulnérabilité RCE zero-day dans Apache Log4j signalée le 24 novembre 2021.
Pour exploiter avec succès CVE-2022-22965, il est nécessaire que l’application fonctionne sur Tomcat en tant que déploiement WAR. Sinon, elle n’est pas vulnérable. Néanmoins, les chercheurs en sécurité avertissent que ce n’est pas une panacée contre les exploitations, compte tenu de la nature de la vulnérabilité. La protection contre l’exploitation de CVE-2022-22965 nécessite que les utilisateurs mettent à jour leur version de Spring à 5.3.18 ou 5.2.20. Mettre à niveau la version du framework est suffisant pour corriger CVE-2022-22965 sur les applications Spring.
Pour plus de détails sur cette vulnérabilité, veuillez vous référer à l’ analyse CVE-2022-22965 publiée sur le blog SOC Prime le 31 mars 2022.
Rejoignezla plateforme Detection as Code de SOC Primepour débloquer l’accès au plus grand pool de contenu de détection en direct créé par les leaders de l’industrie.SOC Prime, dont le siège est à Boston, aux États-Unis, est alimentée par une équipe internationale d’experts chevronnés dédiés à l’activation de la défense cyber collaborative. Restez connecté à la communauté mondiale de la cybersécurité pour résister aux attaques plus facilement, plus rapidement et plus efficacement.
