Microsoft, şu anda bulut hizmetlerinde kritik Spring4Shell (aka SpringShell) uzaktan kod yürütme (RCE) güvenlik açığını hedefleyen “düşük miktarda yararlanma girişimi” izlediğini söyledi.
bu Spring4Shell güvenlik açığı (CVE-2022-22965 olarak izlenir), “Java için en yaygın kullanılan hafif açık kaynak çerçevesi” olarak tanımlanan Spring Framework’ü etkiler.
Microsoft 365 Defender Threat Intelligence Team, “Microsoft, bulut altyapımıza ve hizmetlerimize yönelik saldırıları daha iyi savunmak için düzenli olarak izliyor” dedim.
“Spring Core güvenlik açığı açıklandığından beri, Spring Cloud ve Spring Core güvenlik açıkları için bulut hizmetlerimizde düşük hacimli açıklardan yararlanma girişimlerini izliyoruz.”
Spring4Shell, web kabuklarını dağıtmak için kullanıldı
Microsoft Pazartesi günkü raporunda ayrıca saldırganların Spring Core çerçevesini çalıştıran sunuculara özel hazırlanmış sorgular göndererek bu Spring Core güvenlik açığından yararlanabileceğini açıkladı. web kabukları oluştur Tomcat kök dizininde.
Tehdit aktörleri, güvenliği ihlal edilmiş sunucuda komutları yürütmek için bu web kabuğunu kullanabilir.
Bazıları bu güvenlik hatasının önem derecesini, her yerde bulunan Apache Log4j Java tabanlı günlük kitaplığındaki bir güvenlik açığı olan Log4Shell ile karşılaştırmış olsa da, Spring4Shell’in yalnızca çok özel bir yapılandırmaya sahip sistemleri etkilediği düşünüldüğünde, bu mutlaka doğru değildir:
- JDK 9.0 veya üstünü çalıştırma
- Spring Framework sürümleri 5.3.0 – 5.3.17, 5.2.0 – 5.2.19 ve önceki sürümler
- Servlet kapsayıcısı olarak Apache Tomcat
- Geleneksel bir Java web arşivi (WAR) olarak paketlenmiştir ve bağımsız bir Tomcat örneğinde konuşlandırılmıştır; gömülü bir Servlet kapsayıcısı veya reaktif web sunucusu kullanan tipik Spring Boot dağıtımları etkilenmez
- Tomcat’in sahip olduğu bahar-webmvc veya yay-web akışı bağımlılıklar
Buna rağmen Microsoft, “JDK 9.0 veya sonraki sürümleri kullanan ve Spring Framework veya türev çerçeveleri kullanan herhangi bir sistemin savunmasız olarak kabul edilmesi gerektiğini” söylüyor.
Yöneticiler, bu kötü amaçlı olmayan komutu kullanarak Spring4Shell saldırılarına karşı savunmasız olup olmadıklarını belirlemek için sunucularını kontrol edebilir (HTTP 400 yanıtı, sistemin en az bir genel kullanıma açık kavram kanıtı (PoC) istismarına karşı savunmasız olduğunun kanıtıdır):
curl host:port/path?class.module.classLoader.URLs%5B0%5D=0
Devam eden kullanım uyarıları
Microsoft’un bulut altyapısına karşı Spring4Shell açıklarından yararlanan devam eden saldırıları keşfetmesi, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) sonra geldi. Güvenlik açığını Bilinen Yararlanılan Güvenlik Açıkları kataloğuna ekledi.
Salı günü yayınlanan bir Check Point raporu, CVE-2022-22965 istismar girişimlerinin Spring4Shell’e karşı savunmasız olan tüm kuruluşların yaklaşık %16’sını hedef aldığını tahmin ediyor.
Dahili kaynaklı telemetri istatistiklerine dayalı olarak, Check Point araştırmacıları saptanmış sadece geçen hafta sonu yaklaşık 37.000 Spring4Shell istismar girişimi.
Pazartesi günü, VMware ayrıca yayınlanan güvenlik güncellemeleri Bulut bilişim ve sanallaştırma ürünlerinin birçoğunu etkileyen Spring4Shell kusurunu ele almak için.