API Security
Обзор
- Есть две уязвимости: уязвимость нулевого дня в Spring Core, которая называется Spring4Shell (уязвимость высокого уровня, которая уже эксплуатируется, но пока не имеет CVE) и в Spring Cloud Function (CVE-2022-22963).
- Валарм выпустил обновление для обнаружения и предотвращения эксплуатации этих уязвимостей.
- Если вы используете ноду Валарм в режиме блокировки, никаких дополнительных действий для защиты от эксплуатации этих уязвимостей не требуется.
- Если вы используете ноду в режиме мониторинга, рекомендуем создать виртуальные патчи для уязвимости в Spring Core и уязвимости в Spring Cloud Function.
Spring4Shell
Spring Framework — популярный фреймворк, который используется разработчиками Java для создания современных приложений. Если в вашем стеке есть Java, большая вероятность, что ваша инженерная команда использует Spring. В некоторых случаях для эксплуатации уязвимости требуется всего один специфичный запрос.
29 марта 2022 года в Твиттере появилась информация о примерах эксплуатации уязвимости нулевого дня в популярной Java-библиотеке Spring Core. Позже выяснилось, что в сети обсуждают и иногда путают два разных RCE:
- RCE в "Spring Core" ( на данный момент уязвимость не исправлена) - Spring4Shell
- RCE в “Spring Cloud Function” (CVE-2022-22963)
Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код в целевой системе. В некоторых конфигурациях злоумышленнику достаточно отправить один HTTP-запрос в уязвимую систему и получить несанкционированный доступ к системе. Некоторые конфигурации могут потребовать от злоумышленника дополнительных действий.
На момент написания данной статьи, уязвимость Spring4Shell не была исправлена в Spring Framework и в открытом доступе есть примеры, как осуществить её эксплуатацию. Мы также обнаружили реальные случаи эксплуатации этой уязвимости.
Обновления Валарм
Валарм автоматически обнаруживает попытки эксплуатации уязвимости Spring4Shell и выгружает их в список событий в Консоль управления.

Противодействие
Если Валарм работает в режиме блокировки, попытки эксплуатации приведенных уязвимостей будут блокироваться автоматически. Дополнительные действия не требуются.
Если Валарм работает в режиме мониторинга, мы рекомендуем создать виртуальные патчи для уязвимости в Spring Core и уязвимости в Spring Cloud Function.
Если потребуется помощь, обратитесь в нашу техническую поддержку: support@wallarm.com