[SCI] Vulnerabilidad Spring4Shell que afecta a Sistemas de Control

Introducción

Se ha conocido una vulnerabilidad crítica en el framework Java Spring que permiten tomar remotamente el control de aplicaciones. Esta vulnerabilidad web, que recuerda a Log4Shell, afecta a la familia de productos siPass y Siveillance Identity de Siemens[1], Bosch MATRIX del fabricante Bosch[2] y Lumada Asset Performance Manager del fabricante Hitachi Energy[3].

 

Análisis

Spring4Shell o SpringShell han sido los nombres dados a la vulnerabilidad y que permite llegar a ejecutar código de forma remota mediante una secuencia de peticiones HTTP específicas.

La vulnerabilidad tiene una criticidad muy elevada, pudiendo comprometer la confidencialidad, integridad y disponibilidad de los datos. Se le ha asignado el identificador CVE-2022-22965, afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en JDK 9+. El exploit requiere que la aplicación se ejecute en Tomcat como un despliegue WAR. Si la aplicación se despliega como un JAR ejecutable de Spring Boot (configuración por defecto) no es vulnerable.

La explotación de esta vulnerabilidad requiere un endpoint con DataBinder habilitado y depende en gran medida del contenedor de servlets de la aplicación.

 

Recomendaciones

Las vulnerabilidades se resuelven aplicando los parches recomendados por los fabricantes. Para el Siveillance Identity V1.5 y V1.6, aún no hay parche disponible y Siemens recomienda bloquear las conexiones entrantes y salientes entre el sistema e Internet.

 

Referencias

[1] Spring Framework Vulnerability (CVE-2022-22965) – Impact to Siemens Products

[2] Improper Control of Generation of Code in Bosch MATRIX

[3] Hitachi CYBERSECURITY ADVISORY

ICS Advisory (ICSA-22-286-01)