Rilevare CVE-2022-22965: Aggiornamenti sull’RCE del Framework Spring
Indice:
A marzo 2022, sono state rivelate diverse nuove vulnerabilità nel framework Java Spring. Uno di questi difetti colpisce un componente in Spring Core, consentendo agli avversari di inserire una webshell, concedendo l’Esecuzione di Comandi Remoti (RCE).
A partire dal 5 aprile 2022, la vulnerabilità SpringShell tracciata come CVE-2022-22965 è ora confermata essere di gravità critica.
Rilevamento CVE-2022-22965
Data la tendenza attuale allo sfruttamento del CVE-2022-22965 e il suo potenziale di diffusione attiva, è fondamentale garantire approcci di rilevamento efficienti. Oltre al precedente rilascio di contenuti di rilevamento relativi a CVE-2022-22965 nel repository Threat Detection Marketplace della piattaforma SOC Prime, il seguente Sigma analizza i valori dei comuni header delle richieste HTTP, il corpo, l’URI e la stringa di query per pattern che indicano tentativi di deserializzazione RCE di Java:
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB e Open Distro.
La regola è allineata con l’ultimo framework MITRE ATT&CK® versione 10, affrontando le
tattiche di Movimenti Laterali e Accesso Iniziale con lo sfruttamento di Servizi Remoti (T1210) e lo sfruttamento di Applicazioni Esposte (T1190) come principali tecniche.
La regola è stata rilasciata dal nostro sviluppatore Threat Bounty di alto livello Nattatorn Chuensangarun.
Oltre alle rilevazioni Sigma sopra, puoi sfruttare le regole Snort rilasciate da talentuosi Sittikorn Sangrattanapitak and Kaan Yeniyol, che non manca mai un colpo:
Tentativo di Sfruttamento CVE-2022-22965 – Regole Snort
Attività Potenziale di Webshell tramite Spring4Shell – Regole Snort
Segui gli aggiornamenti sui contenuti di rilevamento relativi a CVE-2022-22965 (alias Spring4Shell o SpringShell) nel repository Threat Detection Marketplace della piattaforma SOC Prime qui. Sei uno sviluppatore esperto di contenuti di rilevamento delle minacce? Sfrutta la potenza della più grande comunità di difesa informatica mondiale alimentata dal Programma Bounty delle Minacce, condividi i tuoi contenuti di rilevamento e guadagna ricompense ricorrenti per i tuoi preziosi contributi.
Visualizza Tutti i Contenuti Unisciti a Threat Bounty
Mitigazione dello Sfruttamento CVE-2022-22965
Tenendo conto dei dettagli di CVE-2022-22965, della gravità e della suscettibilità agli exploit, la vulnerabilità è in grado di causare grandi danni a lungo termine. Anche il suo soprannome, Spring4Shell, si riferisce a Log4Shell, una vulnerabilità zero-day RCE in Apache Log4j segnalata per la prima volta il 24 novembre 2021.
Per sfruttare con successo CVE-2022-22965, è necessario che l’applicazione giri su Tomcat come un deployment WAR. Altrimenti, non è vulnerabile. Nonostante ciò, i ricercatori di sicurezza avvertono che non è una panacea per gli exploit, data la natura della vulnerabilità . La protezione contro lo sfruttamento di CVE-2022-22965 richiede agli utenti di aggiornare la loro versione di Spring a 5.3.18 o 5.2.20. L’aggiornamento della versione del framework è sufficiente per correggere CVE-2022-22965 nelle applicazioni Spring.
Per maggiori dettagli su questa vulnerabilità , si prega di fare riferimento all’ analisi CVE-2022-22965 rilasciata sul blog SOC Prime il 31 marzo 2022.
Unisciti alla piattaformaSOC Prime’s Detection as Codeper sbloccare l’accesso alla più grande pool live di contenuti di rilevazione creata dai leader del settore.SOC Prime, con sede a Boston, USA, è alimentata da un team internazionale di esperti esperti dedicati a consentire una difesa informatica collaborativa. Rimani connesso alla comunità globale di cybersecurity per resistere agli attacchi più facilmente, rapidamente e in modo più efficiente.
