This post is also available in: Português
A Microsoft está rastreando um baixo volume de tentativas de exploração visando a vulnerabilidade crítica de execução remota de código (RCE) Spring4Shell em seus serviços de nuvem.
Rastreada como CVE-2022-22965, a vulnerabilidade Spring4Shell afeta o Spring Framework, descrito como o “framework de código aberto mais usado para Java”.
Segundo a equipe de inteligência de ameaças da Microsoft 365 Dedender, a empresa monitora regularmente os ataques contra sua infraestrutura e serviços de nuvem para evitar incidentes.
“Desde que a vulnerabilidade Spring Core foi anunciada, temos rastreado um baixo volume de tentativas de exploração em nossos serviços de nuvem para vulnerabilidades Spring Cloud e Spring Core”, disse a equipe.
Spring4Shell explorado para implantar web shells
Em seu relatório de segunda-feira, a Microsoft também explicou que os invasores poderiam explorar essa falha de segurança do Spring Core enviando consultas especialmente criadas para servidores que executam a estrutura Spring Core para criar shells da Web no diretório raiz do Tomcat.
Os cibercriminosos podem usar esse shell para executar comandos no servidor comprometido.
Embora alguns tenham comparado o nível de gravidade desse bug de segurança com o Log4Shell, uma vulnerabilidade na biblioteca do Apache Log4j, isso não é necessariamente verdade, pois o Spring4Shell afeta apenas sistemas com uma configuração muito particular:
- Executando o JDK 9.0 ou posterior;
- Spring Framework versões 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 e versões anteriores;
- Apache Tomcat como o contêiner Servlet;
- Empacotado como um arquivo web Java tradicional (WAR) e implementado em uma instância independente do Tomcat; implantações típicas do Spring Boot usando um contêiner de Servlet incorporado ou servidor web reativo não são afetadas;
- Tomcat tem dependências spring-webmvc ou spring-webflux.
Apesar disso, a Microsoft diz que qualquer sistema usando JDK 9.0 ou posterior e usando o Spring Framework ou estruturas derivadas deve ser considerado vulnerável.
Os administradores podem verificar seus servidores para determinar se estão vulneráveis a ataques Spring4Shell usando este comando não malicioso (uma resposta HTTP 400 é evidencia de que o sistema é vulnerável a pelo menos uma exploração de prova de conceito (PoC) publicamente disponível):
$ curl host:port/path?class.module.classLoader.URLs%5B0%5D=0
Avisos de exploração contínua
A descoberta da Microsoft de ataques em andamento que implantam explorações Spring4Shell em sua infraestrutura de nuvem ocorre depois que a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades exploradas conhecidas.
Um relatório divulgado recentemente, estima que as tentativas de exploração do CVE-2022-22965 já atingiram cerca de 16% de todas as organizações vulneráveis ao Spring4Shell.
Com base em estatísticas de telemetria de origem interna, os pesquisadores da empresa detectaram cerca de 37 mil tentativas de exploração do Spring4Shell apenas no último final de semana.
Na segunda-feira, 04, a VMware publicou atualizações de segurança para resolver a falha Spring4Shell, que afeta vários de seus produtos de computação em nuvem e virtualização.
Fontes: Microsoft, VMware, CISA.
This post is also available in: Português
