Bahar Çekirdek Java Çerçevesinde 'Spring4shell' adlı yeni bir sıfır gün güvenlik açığı, uygulamalarda kimliği doğrulanmamış uzaktan kod yürütülmesine izin verdi.
Bahar, yazılım geliştiricilerinin kurumsal düzeyde özelliklerle Java uygulamalarını hızlı ve kolay bir şekilde geliştirmelerine izin veren çok popüler bir uygulama çerçevesidir. Bu uygulamalar daha sonra, gerekli tüm bağımlılıklar ile tek başına paketler olarak Apache Tomcat gibi sunucularda konuşlandırılabilir.
Dün, CVE-2022-22963 olarak izlenen yeni bir bahar bulutu işlevi açıklandı, yakında takip edebilecek bir konsept istifi ile.
Bununla birlikte, daha kritik bir yay çekirdek uzaktan kod yürütme güvenlik açığı hakkında bilgi bir daha QQ sohbet hizmeti ve Çinli bir siber güvenliği sitesinde dolaşıyordu.
Bugün, bu sıfır günlük güvenlik açığı için bir sömürü kısaca sızdırıldı ve sonra kaldırıldı ancak siber güvenlik araştırmacılarının kodu indirebilmesinden önce değil.
O zamandan beri, çok sayıda siber güvenlik araştırmacıları ve güvenlik firmaları, kırılganlığın geçerli ve önemli bir endişe olduğunu doğruladı.
Bu yeni bahar RCE güvenlik açığı, şimdi Spring4shell, geçen argümanların güvensiz bir şekilde çözülmesinden kaynaklanıyor.
Başlangıçta, Java 9 veya daha büyük olan tüm yay uygulamalarını etkilemesi gerektiğinde, daha sonra bir yay uygulaması için savunmasız olması için karşılanması gereken özel gereksinimler olduğunu belirledi.
Cert / CC'de güvenlik açığı analisti olan Dormann, bir uygulamanın "yaylı fasulye" kullanması gerektiğini, "yay parametresi bağlanması" ve "yay parametresi bağlanması, örneğin, temel olmayan bir parametre tipi kullanacak şekilde yapılandırılmalıdır. Pojos. "
Siber Güvenlik Firması Praetorian, hatanın doğru şekilde yararlanmak için özel konfigürasyonlara dayandığını da doğruladı.
Praetorian, "sömürü, veritabanını etkin bir son nokta gerektirir (örn.
"Örneğin, yay Apache Tomcat'a dağıtıldığında, WebAppclassLassloader erişilebilir, bu da bir saldırganın, nihayetinde kötü amaçlı bir JSP dosyası yazmak için Getters ve Setters'ı çağırmasını sağlar."
"Ancak, eğer bahar, gömülü tomcat servlet kabı kullanılarak konuşlandırılırsa, sınıf yükleyici sınırlı erişime sahip bir lansmanlunlclassloaderdir."
"Bazı konfigürasyonlarda, bu sorunun sömürülmesi basittir, çünkü yalnızca bir saldırganın savunmasız bir sisteme hazırlanmış bir posta talebi göndermesini gerektirir. Ancak, farklı yapılandırmaların sömürülmesi, saldırganın etkili olacağı yükler bulmak için ek araştırma yapmasını gerektirecektir. . "
Gereklilikler hedef boyutunu sınırlandırabilirken, BleepingComputer, Spring4shell güvenlik açığının aktif olarak saldırılarda aktif olarak yararlandığı birden fazla kaynak tarafından söylendi.
Praetorian'ın Blog Gönderi, Spring4shell saldırılarını, spesifik 'desenlerin' bahar çekirdek veritabanına iletilmesine izin vererek kısmen hafifletmenin bir yolunu açıklar.
Bu güvenlik açığının şu anda bir yamacın olmadığı için, yaylı uygulamaları kullanan yöneticilerin bu azaltmayı mümkün olan en kısa sürede dağıtması şiddetle tavsiye edilir.
Bahar, Java başvuruları için çok popüler bir uygulama çerçevesidir, önemli endişeleri yükselterek, bu, tehdit aktörlerinin savunmasız uygulamalar için taramaya yol açabileceği önemli kaygılara neden olabilir.
Kullanıcı, savunmasız bir uygulamaya basit bir HTTP gönderisi gerektirdiğinden, tehdit aktörleri, İnternet'i tarayan ve otomatik olarak savunmasız sunucuları kullanan komut dosyaları oluşturabilecektir.
Tehdit aktörleri, cihaza tam uzaktan erişim sağlayacak olan sunucudaki komutları yürütmek için bu istismarları kullanabilir.
Bu saldırı senaryosu, Aralık ayında, log4shell'in kötü amaçlı yazılımları yüklemek ve ransomware saldırıları yapmak için LOG4SHELL istismarını kullanarak log4j sunucularının kitlesel sömürüsü ile ne gördüğümüzü hatırlatıyor.
Bu hatayı sömürme gereksinimleri nedeniyle, kaç uygulama savunmasız olduğunu söylemek çok erken.
Sonuçta bu senaryonun gerçekleşmesini önlemek için, Yöneticinin, uygulamaların savunmasız olduğuna inanıyorlarsa, Praetorian tarafından sağlanan Azaltma'yı uygulayabileceği şiddetle tavsiye edilir.
GÜNCELLEME 3/30/22 4:45 PM EST: Birden fazla kaynak durumu, güvenlik açığı aktif olarak saldırılarda sömürülür. Güncelleme 3/30/22 09:21 PM EST: İstismarın çalışması için muhtemel gereksinimleri eklendi.
Yönetici hakları veren Windows sıfır günlük kusur, tekrar resmi olmayan yama alır
APC UPS sıfır gün böcekleri uzaktan aygıtları yanıp sönebilir, gücü devre dışı bırakabilir
Microsoft Mart 2022 Yama Salı Düzeltmeler 71 Kusurlar, 3 Sıfır Gün
Mozilla Firefox 97.0.2 İki aktif olarak sömürülen sıfır gün böcek düzeltmesi
Microsoft, aktif olarak sömürülen değişim sıfır gün böcekleri düzeltiyor, şimdi yama
Kaynak: Bleeping Computer