Actualités

Spring4Shell : vers une exploitation potentielle du botnet Mirai… les patchs à appliquer sans attendre ! (Spring4Hell…)

Source : BobTShoplifter (Twitter)

 

Depuis le 29 Mars 2022 et aux réminiscences de Log4Shell les solutions Spring sont impactées par des vulnérabilités qui permettent une exécution de code à distance (RCE : Remote Code Execution) depuis les bibliothèques Java (JDK – Java Development Kit) voire directement depuis le framework-même de Spring…

 

 

Au nombre de trois, pour l’heure, et jusqu’au 13 Avril dernier, voici les failles assignées par l’éditeur VMWare Tanzu :

 

  • CVE-2022-22963 : cyber-attaque RCE depuis le Spring Cloud Function. Versions impactées : jusqu’à la v3.1.6 et v3.2.2. Un exploit est possible depuis le routage via un “SpEL spécifiquement conçu” ;

 

 

  • CVE-2022-22965 : cyber-attaque RCE depuis le Spring MVC ou le Spring WebFlux (application), sous JDK v9 et plus. Versions impactées (framework) : v5.3.0 et jusqu’à v5.3.17 ou v5.2.0 et jusqu’à la v5.2.19 (les versions antérieures à celles évoquées ci-avant n’étant pas exclues…). Hormis (éventuellement : là aussi, rien de certain !) un démarrage par défaut en exécutable JAR, l’exploit s’opère sous serveur Tomcat en déployant (boot) WAR ;
  • CVE-2022-22968 : cyber-attaque RCE depuis le framework Spring. Versions impactées : v5.3.0 et jusqu’à la v5.3.18 ou v5.2.0 et jusqu’à la v5.2.20. Une option-configuration pour disallowedFields (WebDataBinder) respecte la casse (synthase majuscule, minuscule). Le correctif permet d’éviter les doublons en enregistrement-champ (une fois en minuscule et une autre fois en majuscule – premier caractère) tout en instaurant, dans la foulée, un refus de liaison vers FirstName quand il s’agit d’un prénom.

 

 

Au-delà des correctifs, s’ajoutent les PoCs et analyses sécuritaires dont celle relative à l’équipe TrendMicro, depuis le 8 Avril 2022 : si le terminal en question n’intègre pas le patch pour les solutions Spring, une infection en trois étapes s’opère, alors, avec, au dernier stage-niveau, une cyber-attaque RCE WebShell via command-and-server. En finalité, cela permettra le déploiement potentiel, suivant le but des cyber-attaquants :

 

  • Accès par chemin-fichier au terminal-victime pour effectuer d’autres actions ou infections,
  • Ex-traction et / ou ex-filtration de données,
  • Cyber-attaque par DoS,
  • Cyber-attaque par crypto-minage ou crypto-jacking via malware(s) dédiés,
  • Cyber-attaque par ransomware (chiffrement des données),
  • Cyber-attaque par botnet (dont Mirai).

Concernant le dernier point, selon les propos des chercheurs, celui-ci aurait été observé activement “dans la région de Singapour“. Mirai est téléchargé dans un fichier TMP puis exécuté (avec changement de permission-privilège) via chmod. L’échantillon ainsi testé permettait de remonter, au moins, à Avril 2022 avec des premières traces remontant à la seconde moitié du mois de Mars 2022.

Bon nombre d’éditeurs ou entreprises, dont Microsoft entre-autres, émettent un modus operandi pour se prémunir des failles sous Spring (Core) ; en plus, bien évidemment, d’appliquer les mises à jour pour les terminaux concernés par les solutions sous Spring… A veiller !

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6