אפשר להירגע: ניתן למזער את פוטנציאל הנזק של הפגיעות ב-Spring
מאת קיריל גלפנד
מידע חדש פורסם לאחרונה בבלוגים ואתרים רבים בעולם לגבי פגיעות קריטית מסוג Zero-Day המשפיעה על ה-Spring Framework Core – הפופולרית בקרב אפליקציות לארגוני Enterprise המפותחת בקוד פתוח של Java. הפגיעות הזו סווגה באופן לא רשמי כ- “Spring4Shell” על ידי פרסומים רבים, בשל דמיון רב ל-Log4Shell, בעיקר בקשר למידת הנזק הפוטנציאלי הצפוי. בהתבסס על הצהרת Spring והמחקר של אנליסטים מטרנד מיקרו (Trend Micro), אפליקציות Spring MVC ו-WebFlux שרצות על Java Development Kit (JDK) 9 ומעלה חשופות למתקפה, המנצלת חולשה לשליחת בקשה ספציפית לשרתים בלתי מוגנים. למעשה, החולשה עצמה היא פועל יוצא של תיקון בלתי מושלם בחולשה ישנה יותר (CVE- 2010-1622).
לפי המחקר של טרנד מיקרו, להלן התנאים המצטברים הנדרשים על מנת להיות חשופים:
- אפליקציות צריכות להתבסס על JDK 9 ומעלה.
- שימוש ב-Apache Tomcat בתצורת Container.
- האפליקציה ארוזה כ-Web Application Resource (WAR) מסורתי ולא כ-Spring Boot executable jar.
- תלות ספציפית ב-spring-webmvc או ב-spring-webflux.
- שימוש ב-Spring Framework בגרסאות נמוכות מ- 3.18 או 5.2.20.
מה ניתן לעשות?
כצעד ראשון, הפעולה המומלצת ביותר למשתמשים היא פשוט אימוץ התיקונים והטלאים של היצרן בסמוך ככל האפשר למועד פרסומם.
גרסאות 5.3.18 (5.3x) ו-5.2.20 (5.2x) של Spring Framework כמו גם Spring Boot בגרסאות 2.6.6 ו-2.5.12, שוחררו על מנת לתקן את החולשה. על המשתמשים למהר ולעדכן לגרסאות הללו בהקדם. הנחיות מסודרות נוספות פורסמו בבלוג של Spring.
מעבר להמלצות אלו של היצרן, חברת טרנד מיקרו פרסמה חוקים, פילטרים וזיהויים, אשר מעניקים מעטפת הגנה נוספת וזיהוי של איומי סייבר הקשורים בשרתים שהותקפו כבר או יותקפו בעתיד.
- פתרון Trend Micro Cloud One – Workload Security and Deep Security IPS Rules – יסייע בהגנה על: Rule 1011372 – Spring Framework "Spring4Shell" Remote Code Execution Vulnerability (CVE-2022-22965).
- פתרון Trend Micro Cloud One – Network Security and TippingPoint Filters – יסייע בהגנה על Filter 41108: HTTP: Spring Core Code Execution Vulnerability.
- פתרון – Trend Micro Deep Discovery Inspector Network Content Inspection Rules יסייע בהגנה על: /Rule 3320: HTTP_SPRING4SHELL_RCE_EXPLOIT_REQUEST_BETA ועל Rule 3321: HTTP_POSSIBLE_JAVA_CLASSLOADER_RCE_EXPLOIT_REQUEST_BETA
פלטפורמת ההגנה Trend Micro Cloud One היא מערכת הגנה בקוד פתוח של Snyk, אשר יכולה לזהות איומים פוטנציאלים כתוצאה מחולשות הקיימות במאגרי קוד שונים בארגון במינימום אינטגרציה. לאחר ההתקנה, Trend Micro Cloud One יכולה גם לנטר את התקדמות תהליך העדכון של חולשות שונות לגרסאות מתוקנות.
למידע נוסף אנא צרו קשר עם איש/ת המכירות שלכם בטרנד מיקרו ישראל בקישור זה.
הכותב הוא מהנדס מכירות בטרנד מיקרו.