Spring4Shell : vers une exploitation potentielle du botnet Mirai… les patchs à appliquer sans attendre ! (Spring4Hell…)

Source : BobTShoplifter (Twitter)

Depuis le 29 Mars 2022 et aux réminiscences de Log4Shell les solutions Spring sont impactées par des vulnérabilités qui permettent une exécution de code à distance (RCE : Remote Code Execution) depuis les bibliothèques Java (JDK – Java Development Kit) voire directement depuis le framework-même de Spring…

Au nombre de trois, pour l’heure, et jusqu’au 13 Avril dernier, voici les failles assignées par l’éditeur VMWare Tanzu :

• CVE-2022-22963 : cyber-attaque RCE depuis le Spring Cloud Function. Versions impactées : jusqu’à la v3.1.6 et v3.2.2. Un exploit est possible depuis le routage via un “SpEL spécifiquement conçu” ;

• CVE-2022-22965 : cyber-attaque RCE depuis le Spring MVC ou le Spring WebFlux (application), sous JDK v9 et plus. Versions impactées (framework) : v5.3.0 et jusqu’à v5.3.17 ou v5.2.0 et jusqu’à la v5.2.19 (les versions antérieures à celles évoquées ci-avant n’étant pas exclues…). Hormis (éventuellement : là aussi, rien de certain !) un démarrage par défaut en exécutable JAR, l’exploit s’opère sous serveur Tomcat en déployant (boot) WAR ;

• CVE-2022-22968 : cyber-attaque RCE depuis le framework Spring. Versions impactées : v5.3.0 et jusqu’à la v5.3.18 ou v5.2.0 et jusqu’à la v5.2.20. Une option-configuration pour disallowedFields (WebDataBinder) respecte la casse (synthase majuscule, minuscule). Le correctif permet d’éviter les doublons en enregistrement-champ (une fois en minuscule et une autre fois en majuscule – premier caractère) tout en instaurant, dans la foulée, un refus de liaison vers FirstName quand il s’agit d’un prénom.

Au-delà des correctifs, s’ajoutent les PoCs et analyses sécuritaires dont celle relative à l’équipe TrendMicro, depuis le 8 Avril 2022 : si le terminal en question n’intègre pas le patch pour les solutions Spring, une infection en trois étapes s’opère, alors, avec, au dernier stage-niveau, une cyber-attaque RCE WebShell via command-and-server. En finalité, cela permettra le déploiement potentiel, suivant le but des cyber-attaquants :

• Accès par chemin-fichier au terminal-victime pour effectuer d’autres actions ou infections,
• Ex-traction et / ou ex-filtration de données,
• Cyber-attaque par DoS,
• Cyber-attaque par crypto-minage ou crypto-jacking via malware(s) dédiés,
• Cyber-attaque par ransomware (chiffrement des données),
• Cyber-attaque par botnet (dont Mirai).

Concernant le dernier point, selon les propos des chercheurs, celui-ci aurait été observé activement “dans la région de Singapour“. Mirai est téléchargé dans un fichier TMP puis exécuté (avec changement de permission-privilège) via chmod. L’échantillon ainsi testé permettait de remonter, au moins, à Avril 2022 avec des premières traces remontant à la seconde moitié du mois de Mars 2022.

Bon nombre d’éditeurs ou entreprises, dont Microsoft entre-autres, émettent un modus operandi pour se prémunir des failles sous Spring (Core) ; en plus, bien évidemment, d’appliquer les mises à jour pour les terminaux concernés par les solutions sous Spring… A veiller !

Sources :

• blog Spring – 31 Mars 2022 – Spring4Shell : timeline des vulnérabilités et correctifs,
• TrendMicro – 8 Avril 2022 – CVE-2022-22965 : déploiement potentiel de Mirai,
• blog Microsoft – 4 Avril 2022 – Spring4Shell : guide sécuritaire Windows.

Signaler une erreur

Raison: *
Erreur(s) dans l'informationFaute(s) d'orthographe(s)

Votre nom: *

Votre email: *

Détails: *

Envoyer votre message