Introducció
S’ha conegut una vulnerabilitat crítica al framework Java Spring que permet prendre remotament el control d’aplicacions. Aquesta vulnerabilitat web, que recorda Log4Shell, afecta la família de productes siPass y Siveillance Identity de Siemens[1], Bosch MATRIX del fabricant Bosch[2] i Lumada Asset Performance Manager del fabricant Hitachi Energy[3].
Anàlisi
Spring4Shell o SpringShell han estat els noms donats a la vulnerabilitat i que permet arribar a executar codi remotament mitjançant una seqüència de peticions HTTP específiques.
La vulnerabilitat té una criticitat molt elevada, podent comprometre la confidencialitat, integritat i disponibilitat de les dades. Se li ha assignat l’identificador CVE-2022-22965, afecta les aplicacions Spring MVC i Spring WebFlux que s’executen a JDK 9+. L’exploit requereix que l’aplicació s’executi a Tomcat com a desplegament WAR. Si l’aplicació es desplega com a JAR executable de Spring Boot (configuració per defecte) no és vulnerable.
L’explotació d’aquesta vulnerabilitat requereix un endpoint amb DataBinder habilitat i depèn en gran mesura del contenidor de servlets de l’aplicació.
Recomanacions
Les vulnerabilitats es resolen aplicant els partxes recomanats pels fabricants. Per al Siveillance Identity V1.5 i V1.6, encara no hi ha partxe disponible i Siemens recomana bloquejar les connexions entre el sistema i Internet.
Referències
[1] Spring Framework Vulnerability (CVE-2022-22965) – Impact to Siemens Products[2] Improper Control of Generation of Code in Bosch MATRIX[3] Hitachi CYBERSECURITY ADVISORY