25 de abril de 2022

Microsoft pede que clientes de seus serviços corrijam o bug Spring4Shell Java, derivado do altamente malicioso Log4Shell

O bug Spring4Shell é uma falha descoberta recentemente no Spring Framework para Java, um framework open source amplamente utilizado ao redor do mundo.

Em um alerta de segurança emitido em abril, a Microsoft pede, com urgência, que clientes de seu serviço baseado em nuvem, o Azure, corrijam o bug – uma vulnerabilidade de execução remota de código (RCE) de classificação crítica, que foi marcada como CVE-2022-22965 e apelidada de SpringShell ou Spring4Shell – uma reviravolta no altamente danoso bug Log4Shell que afeta outro utilitário de criação de logs de aplicativos baseados em Java.

Embora, inicialmente, tenha havido um debate e algumas discordâncias sobre a gravidade do bug, investigações feitas por pesquisadores de segurança nos dias seguintes à descoberta da falha revelaram que o Spring4Shell era de fato um bug sério que merecia atenção.

Agência de segurança dos Estados Unidos emite alerta contra o Spring4Shell

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), no dia 1º de abril, instou todas as organizações, incluindo agências federais, a corrigir o bug imediatamente. Em 4 de abril, a CISA adicionou o bug ao seu catálogo de vulnerabilidades exploradas conhecidas, o que exige que as agências federais o corrijam dentro do prazo estipulado pela agência.

O que torna a ameaça tão grave é o fato de o Spring Framework ser “o framework de código aberto leve mais amplamente usado para Java”, observa a Microsoft. O bug reside no Java Development Kit (JDK) da versão 9.0 e superior se o sistema também estiver usando Spring Framework versões 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 e anteriores.

“No Java Development Kit (JDK) versão 9.0 ou posterior, um invasor remoto pode obter acesso via AccessLogValve, por meio do recurso de vinculação de parâmetros da estrutura e usar valores de campo maliciosos para acionar o mecanismo de pipeline e gravar em um arquivo em um caminho arbitrário, se determinadas condições são atendidas”, relata a equipe de inteligência de ameaças do Microsoft Defender.

Outras condições necessárias para a exploração incluem que o Apache Tomcat (servidor web Java) sirva como o contêiner principal e que o aplicativo seja empacotado como um arquivo web Java tradicional (WAR) e implantado em uma instância Tomcat independente.

“Qualquer sistema usando JDK 9.0 ou posterior e usando o Spring Framework ou estruturas derivadas deve ser considerado vulnerável”, observa a Microsoft.

A Microsoft observa que a única exploração de trabalho, uma prova de conceito, só pode ser usada remotamente em um servidor Tomcat por meio de seu módulo de log usando determinados comandos. Um invasor pode alterar os logs de acesso padrão para qualquer arquivo que desejar, emitindo solicitações para ele pela web. O invasor pode, também, alterar o conteúdo de um servidor ou aplicativo da Web.

O impacto do Spring4Shell em softwares e hardwares

Assim como o Log4Shell, o impacto do Spring4Shell é sentido por meio de sua inclusão em outros produtos. A empresa de softwares VMware, por exemplo, alertou que a vulnerabilidade afetou seus serviços para dispositivos virtuais.

“O exploit atual aproveita o mesmo mecanismo do CVE-2010-1622 (Log4Shell), ignorando a correção de bug anterior. O Java 9 adicionou uma nova tecnologia chamada Java Modules”, avalia a Microsoft.

As equipes de segurança interessadas em pesquisar o assunto podem consultar esta postagem do usuário no GitHub. A equipe por trás do Spring também explicou o patch e a vulnerabilidade aqui.

Para se proteger, é fundamental contar com as últimas soluções de cibersegurança, além de uma política contínua de detecção e revisão de vulnerabilidades.

Nós podemos te ajudar! Conheça os produtos de segurança da informação da Compugraf ou entre em contato com nossos especialistas!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?