Introducción
Se ha conocido una vulnerabilidad crítica en el framework Java Spring que permiten tomar remotamente el control de aplicaciones. Esta vulnerabilidad web, que recuerda a Log4Shell, afecta a la familia de productos siPass y Siveillance Identity de Siemens[1], Bosch MATRIX del fabricante Bosch[2] y Lumada Asset Performance Manager del fabricante Hitachi Energy[3].
Análisis
Spring4Shell o SpringShell han sido los nombres dados a la vulnerabilidad y que permite llegar a ejecutar código de forma remota mediante una secuencia de peticiones HTTP específicas.
La vulnerabilidad tiene una criticidad muy elevada, pudiendo comprometer la confidencialidad, integridad y disponibilidad de los datos. Se le ha asignado el identificador CVE-2022-22965, afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en JDK 9+. El exploit requiere que la aplicación se ejecute en Tomcat como un despliegue WAR. Si la aplicación se despliega como un JAR ejecutable de Spring Boot (configuración por defecto) no es vulnerable.
La explotación de esta vulnerabilidad requiere un endpoint con DataBinder habilitado y depende en gran medida del contenedor de servlets de la aplicación.
Recomendaciones
Las vulnerabilidades se resuelven aplicando los parches recomendados por los fabricantes. Para el Siveillance Identity V1.5 y V1.6, aún no hay parche disponible y Siemens recomienda bloquear las conexiones entrantes y salientes entre el sistema e Internet.
Referencias