Detecte CVE-2022-22965: Atualizações sobre RCE no Spring Framework

[post-views]
Abril 05, 2022 · 4 min de leitura
Detecte CVE-2022-22965: Atualizações sobre RCE no Spring Framework

Em março de 2022, várias vulnerabilidades inéditas no framework Java Spring foram divulgadas. Uma dessas falhas afeta um componente no Spring Core, permitindo que adversários instalem um webshell, concedendo Execução Remota de Comandos (RCE).

A partir de 5 de abril de 2022, a vulnerabilidade SpringShell rastreada como CVE-2022-22965 agora está confirmada como de gravidade crítica.

Detecção CVE-2022-22965

Dadas as tendências atuais de exploração do CVE-2022-22965 e seu potencial de disseminação ativa, é vital garantir abordagens eficientes de detecção. Além do conteúdo de detecção anteriormente lançado relacionado ao CVE-2022-22965 no repositório Threat Detection Marketplace da plataforma SOC Prime, a seguinte regra novinha em folha Sigma inspeciona os valores dos cabeçalhos, corpo, URI e string de consulta de solicitações HTTP comuns para padrões que indicam tentativas de desserialização Java RCE: Sigma regra inspeciona os valores dos cabeçalhos de solicitação HTTP comuns, corpo, URI e string de consulta para padrões que indicam tentativas de desserialização Java RCE:

Tentativa de Vulnerabilidade RCE Possível no Spring Core e Cloud Function da AWS [CVE-2022-22965, CVE-2022-22963] (via awswaf)

Esta detecção possui traduções para as seguintes plataformas SIEM, EDR e XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB e Open Distro.

A regra está alinhada com a versão mais recente do framework MITRE ATT&CK® v.10, abordando as táticas de Movimento Lateral e Acesso Inicial com Exploração de Serviços Remotos (T1210) e Exploração de Aplicação Voltada Publicamente (T1190) como as principais técnicas.

Lateral Movement and Initial Access tactics with Exploitation of Remote Services (T1210) and Exploit Public-Facing Application (T1190) as the main techniques.

A regra foi lançada pelo nosso desenvolvedor de Threat Bounty de alto nível Nattatorn Chuensangarun.

Além das detecções Sigma acima, você pode aproveitar as regras Snort lançadas pelo talentoso Sittikorn Sangrattanapitak and Kaan Yeniyol, que nunca perdem um truque:

Tentativa de Exploração CVE-2022-22965 Detectada – Regras Snort

Atividade Potencial de Webshell via Spring4Shell – Regras Snort

Siga as atualizações do conteúdo de detecção relacionadas ao CVE-2022-22965 (também conhecido como Spring4Shell ou SpringShell) no repositório Threat Detection Marketplace da plataforma SOC Prime aqui. Você é um desenvolvedor experiente de conteúdo de detecção de ameaças? Aproveite a força da maior comunidade de defesa cibernética do mundo movida pelo Programa Threat Bounty, compartilhe seu conteúdo de detecção e ganhe recompensas recorrentes por sua valiosa contribuição.

Ver todo o conteúdo Junte-se ao Threat Bounty

Mitigação de Exploit CVE-2022-22965

Levando em conta os detalhes, a gravidade e a suscetibilidade a exploits do CVE-2022-22965, a vulnerabilidade é capaz de causar grandes danos a longo prazo. Mesmo seu apelido, Spring4Shell, refere-se ao devastador Log4Shell, uma vulnerabilidade zero-day RCE no Apache Log4j relatada pela primeira vez em 24 de novembro de 2021.

Para explorar com sucesso o CVE-2022-22965, é necessário que a aplicação seja executada no Tomcat como um WAR deployment. Caso contrário, não é vulnerável. No entanto, pesquisadores de segurança alertam que isso não é uma panaceia para explorações, dada a natureza da vulnerabilidade. A proteção contra o exploit CVE-2022-22965 requer que os usuários atualizem sua versão do Spring para 5.3.18 ou 5.2.20. Atualizar a versão do framework é suficiente para corrigir o CVE-2022-22965 em aplicações Spring.

Para mais detalhes sobre esta vulnerabilidade, consulte a análise do CVE-2022-22965 liberada no blog da SOC Prime em 31 de março de 2022.

Junte-se à plataformaDetecção como Código da SOC Prime para desbloquear o acesso ao maior pool vivo de conteúdo de detecção criado pelos líderes do setor.SOC Prime, com sede em Boston, EUA, é impulsionada por uma equipe internacional de especialistas experientes dedicados a possibilitar uma defesa cibernética colaborativa. Mantenha-se conectado à comunidade global de cibersegurança para resistir a ataques de maneira mais fácil, rápida e eficiente.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa 4 min de leitura Ameaças Mais Recentes Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação 4 min de leitura Ameaças Mais Recentes CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação by Veronika Telychko
Todas as notícias