VMware, birkaç bulut bilişim ve sanallaştırma ürününü etkileyen Spring4Shell olarak bilinen kritik uzaktan kod yürütme güvenlik açığı için güvenlik güncellemeleri yayınladı.
Spring4Shell’den etkilenen VMware ürünlerinin bir listesi, şirketten bir ekte mevcuttur. Bir düzeltmenin bulunmadığı durumlarda, VMware geçici bir çözüm olarak bir geçici çözüm yayınladı.
Spring4Shell aktif olarak yararlanılan bir güvenlik açığı olduğundan, şu anda güvenlik bülteninde sağlanan tavsiyelere uymak kritik önem taşımaktadır.
Popüler bir çerçevede bir kusur
Resmi olarak CVE-2022-22965 olarak izlenen Spring4Shell, bir uzaktan kod yürütme güvenlik açığı kimlik doğrulaması olmadan yararlanılabilen Spring Core Java çerçevesinde, 10 üzerinden 9,8 önem puanına sahip.
Bu, savunmasız uygulamalara erişimi olan herhangi bir kötü niyetli aktörün rastgele komutlar yürütebileceği ve bir hedef sistemin tam kontrolünü ele geçirebileceği anlamına gelir.
Java uygulaması geliştirme için Spring Framework’ün yaygın dağıtımı nedeniyle, güvenlik analistleri Spring4Shell güvenlik açığından yararlanan büyük ölçekli saldırılardan korkuyor.
Daha da kötüsü, çalışan bir kavram kanıtı (PoC) istismarı GitHub’a sızdırıldı bir güvenlik güncellemesi kullanıma sunulmadan önce bile, kötü niyetli istismar ve “sürpriz” saldırılar olasılığını artırıyordu.
Etki ve iyileştirme
Kritik kusur, JDK 9+ üzerinde çalışan Spring MVC ve Spring WebFlux uygulamalarını etkiler. Kesin sınırlamalar hala araştırılıyor olsa da, açıklardan yararlanma, uygulamanın bir WAR dağıtımı olarak Tomcat’te çalışmasını gerektiriyor.
Uygulamaların sabit sürümleri şunlardır:
- Spring Framework 5.3.18 ve Spring Framework 5.2.20
- Yaylı Önyükleme 2.5.12
- Spring Boot 2.6.6 (yakında piyasaya sürülecek)
VMWare, ürün portföyünü gözden geçirdi ve inceleme devam ederken, aşağıdaki ürünler halihazırda etkilenmiş olarak belirlendi:
- VM’ler için VMware Tanzu Uygulama Hizmeti – 2.10 ila 2.13 sürümleri
- VMware Tanzu Operations Manager – 2.8 ila 2.9 sürümleri
- VMware Yardımcı Kubernetes Grid Integrated Edition (TKGI) – 1.11 ila 1.13 arasındaki sürümler
Satıcı, ilk iki ürün için, nokta sürümleriyle birden çok sürüm dalını kapsayan güvenlik güncellemelerini zaten yaptı, ancak VMware Tanzu Kubernetes Grid Integrated Edition için kalıcı bir düzeltme hâlâ çalışıyor.
Bu dağıtımlar için VMWare, geçici çözüm talimatları yamalar yayınlanana kadar yöneticilerin sistemlerini geçici olarak güvence altına almalarına yardımcı olmak için tasarlanmıştır.
Unutulmaması gereken bir nokta, VMWare’in Spring4Shell istismarının TKGI’da karmaşık olduğunu bulması, bu nedenle azaltma tavsiyesi ve yaklaşan güvenlik güncellemesi, maksimum müşteri güveni ve yanlış pozitiflerden kaçınmak için sağlanmıştır.
Yine de, dağıtımlarınızın fırsatçı tehdit aktörlerine karşı güvende olmasını sağlamak için sağlanan resmi güvenlik tavsiyelerine herhangi bir sapma ve gecikme olmaksızın uyulmalıdır.