Detecção do Spring4Shell: Nova Vulnerabilidade em Java Segue os Passos do Notório Log4j
Índice:
Quando chega a primavera, as falhas aparecem. Uma falha nova e altamente severa no Spring Cloud Function entrou no radar em 29 de março de 2022. Uma vulnerabilidade fácil de explorar afeta o módulo Spring Core – um framework usado em aplicações Java, e requer JDK9+. Se explorada, essa vulnerabilidade no Spring Core permite que hackers executem ataques de execução remota de código (RCE).
Até agora, acredita-se que o Spring4Shell tem um potencial crítico falha RCE do Log4j.
Detectar Spring4Shell
Para garantir que seu sistema não foi comprometido, utilize as seguintes regras lançadas pela equipe SOC Prime junto com Florian Roth. As seguintes regras detectam tentativas de exploração de vulnerabilidade SpringCore RCE possíveis.
Possível Acesso Inicial por Tentativa de Exploração do Spring4Shell (via web)
Além das detecções Sigma acima, você pode utilizar a regra YARA lançada por Florian Roth:
Padrões de Exploração do Spring4Shell Possíveis – Regras YARA
Acompanhe as atualizações de conteúdo de detecção relacionadas ao Spring4Shell no repositório Threat Detection Marketplace da plataforma SOC Prime aqui. Você é um desenvolvedor de conteúdo de detecção? Junte-se à maior comunidade de defesa cibernética do mundo impulsionada pelo programa Threat Bounty para aproveitar o poder da comunidade de cibersegurança e ganhar recompensas recorrentes por sua valiosa contribuição.
Ver Todo o Conteúdo Junte-se ao Threat Bounty
Análise do Exploit Spring4Shell
Uma nova vulnerabilidade de dia zero Spring4Shell que está atualmente ganhando força foi detectada em 29 de março de 2022, no Spring Framework – um dos frameworks mais requisitados em Java. A aplicação Spring oferece ferramentas para os desenvolvedores construírem alguns dos padrões comuns em sistemas distribuídos. A nova vulnerabilidade Spring Cloud já foi apelidada de Spring4Shell por sua semelhança com a vulnerabilidade Apache Log4j2 que causou um grande alvoroço em dezembro de 2021.
O impacto negativo do SpringShell em sistemas comprometidos é inevitável: o exploit, assim como o Log4Shell, é muito fácil de realizar. Posteriormente, os adversários podem criar scripts que escaneiam a Internet e exploram automaticamente servidores suscetíveis, pois a exploração envolve apenas um simples HTTP POST para um aplicativo vulnerável. Os agentes de ameaça podem utilizar essas falhas para executar comandos no servidor, concedendo-lhes controle remoto completo sobre o dispositivo infectado.
Além disso, as Funções Spring Cloud podem ser utilizadas em funções serverless de nuvem, como AWS Lambda e Google Cloud Functions, tornando suas contas de nuvem um alvo fácil para hackers ansiosos por aproveitar ao máximo essa vulnerabilidade.
Não é preciso mencionar que essa falha no projeto Spring depende de configurações específicas para ser explorada com sucesso. Em alguns casos, a exploração dessa falha é simples, já que tudo que um atacante precisa fazer é enviar um pedido POST especialmente criado para um sistema alvo. No entanto, a exploração de tais configurações exigirá tempo e recursos adicionais do atacante para envenenar adequadamente cargas úteis direcionadas a uma aplicação Spring e obter controle total do sistema.
A partir de 31 de março de 2022, não há CVE associado a essa falha em particular, embora existam duas outras vulnerabilidades recentemente divulgadas relacionadas ao projeto Spring – CVE-2022-22963 e CVE-2022-22950.
Os riscos potenciais e reais infligidos por essa vulnerabilidade RCE no Spring Core em aplicações reais ainda precisam ser determinados.
Junte-se ao SOC Prime’s Detection as Code plataforma para obter continuamente as últimas atualizações sobre o desenvolvimento do cenário de ameaças, melhorar sua cobertura de ameaças e superar os atacantes alcançando o conteúdo de detecção mais relevante alinhado à matriz MITRE ATT&CK.
