Détection de Spring4Shell : Nouvelle vulnérabilité Java dans la lignée du tristement célèbre Log4j
Table des matières :
Quand le printemps arrive, les bugs fleurissent. Une faille nouvelle et très grave dans le Spring Cloud Function est apparue sur le radar le 29 mars 2022. Une vulnérabilité facile à exploiter affecte le module Spring Core – un cadre utilisé dans les applications Java, et nécessite JDK9+. Si elle est exploitée, cette vulnérabilité de Spring Core permet aux pirates de lancer des attaques d’exécution de code à distance (RCE).
Jusqu’à présent, Spring4Shell est considéré comme ayant le potentiel d’un critique failles RCE de Log4j.
Détecter Spring4Shell
Pour vous assurer que votre système n’a pas été compromis, utilisez les règles suivantes publiées par l’équipe de SOC Prime en collaboration avec Florian Roth. Les règles suivantes détectent les tentatives d’exploitation possibles de la vulnérabilité RCE de SpringCore.
Accès initial possible par tentative d’exploitation de Spring4Shell (via web)
Outre les détections Sigma ci-dessus, vous pouvez utiliser la règle YARA publiée par Florian Roth :
Modèles d’exploitation possibles de Spring4Shell – Règles YARA
Suivez les mises à jour du contenu de détection lié à Spring4Shell dans le référentiel Threat Detection Marketplace de la plateforme SOC Prime ici. Êtes-vous un développeur de contenu de détection ? Rejoignez la plus grande communauté mondiale de défense cybernétique alimentée par le programme Threat Bounty pour exploiter la puissance de la communauté de la cybersécurité et gagner des récompenses récurrentes pour votre contribution précieuse.
Voir tout le contenu Rejoindre Threat Bounty
Analyse de l’exploit Spring4Shell
Une nouvelle vulnérabilité zéro-jour Spring4Shell, qui gagne actuellement en popularité a été détectée le 29 mars 2022, dans le Spring Framework – l’un des frameworks les plus demandés en Java. L’application Spring fournit des outils pour les développeurs afin de construire certains des modèles courants dans les systèmes distribués. La nouvelle vulnérabilité du Spring Cloud a déjà été surnommée Spring4Shell pour sa ressemblance avec la vulnérabilité Apache Log4j2 qui a suscité un énorme remue-ménage en décembre 2021.
L’impact redoutable de SpringShell sur les systèmes compromis est inévitable : l’exploit, tout comme Log4Shell, est très facile à réaliser. Par la suite, les adversaires peuvent créer des scripts qui scannent Internet et exploitent automatiquement les serveurs vulnérables puisque l’exploitation nécessite seulement un simple HTTP POST vers une application vulnérable. Les acteurs de la menace peuvent utiliser ces failles pour exécuter des commandes sur le serveur, leur accordant un contrôle à distance complet sur l’appareil infecté.
De plus, les fonctions Spring Cloud peuvent être utilisées dans des fonctions serverless cloud telles que AWS Lambda et Google Cloud Functions, rendant vos comptes cloud des cibles faciles pour les hackers désireux de tirer parti de cette vulnérabilité.
Il est inutile de mentionner que cette faille dans le projet Spring repose sur des configurations spécifiques pour être exploitée avec succès. Dans certains cas, l’exploitation de cette faille est simple, car tout ce qu’un attaquant doit faire est de soumettre une requête POST spécialement conçue à un système ciblé. Cependant, l’exploitation de telles configurations nécessitera un investissement de temps et de ressources supplémentaires de la part de l’attaquant afin d’empoisonner correctement les charges utiles visant une application Spring et de prendre le contrôle total du système.
Au 31 mars 2022, il n’y a pas de CVE associé à cette faille particulière, bien qu’il existe deux autres vulnérabilités nouvellement divulguées liées au projet Spring – CVE-2022-22963 et CVE-2022-22950.
Les risques potentiels et réels infligés par cette vulnérabilité RCE de Spring Core sur des applications réelles du monde réel restent à déterminer.
Rejoindre la plateforme de SOC Prime Detection as Code pour obtenir en continu les dernières mises à jour sur l’évolution du paysage des menaces, améliorer votre couverture des menaces, et dépasser les attaquants en accédant au contenu de détection le plus pertinent aligné avec la matrice MITRE ATT&CK.
