Spring menghadapi kerentanan zero-day baru yang ditemukan pada minggu yang sama dengan bug kritis sebelumnya. Masalah keamanan pertama, CVE-2022-22963, adalah injeksi ekspresi SpEL bug di Spring Cloud Function, diungkapkan pada 28 Maret oleh NSFOCUS, seperti yang sebelumnya dilaporkan oleh The Daily Swig. Sebuah bug RCE kedua, dijuluki “Spring4Shell/Springshell”, kini juga telah ditemukan di modul Core berbasis Java Spring Framework. A Bahasa Mandarin- pengembang yang berbicara memposting kode eksploit untuk kerentanan zero-day di Spring Framework (jangan dikelirukan dengan Spring Cloud Function). Sementara komit kode eksploitasi telah dihapus, tindakan ini mungkin terlambat. Para peneliti keamanan siber mengatakan bahwa kode tersebut, setelah diterjemahkan, tampaknya menunjukkan bagaimana penyerang yang tidak diautentikasi dapat memicu RCE pada sistem target. Rapid7, bersama yang lain dan sekarang Spring.io sendiri, telah mengkonfirmasi keberadaan kerentanan zero-day. Meskipun berpotensi parah, kondisi tertentu harus dipenuhi agar aplikasi dapat dieksploitasi. Selama pengujian Spring Framework versi 4.3.0 hingga 5.3.15, Rapid7 menemukan bahwa bug tampaknya berasal dari fungsi menggunakan anotasi @RequestMapping dan parameter POJO. Penyerang dapat mengeksploitasi kelemahan tersebut untuk menjatuhkan muatan dan menjalankan perintah. Namun, sejauh ini kerentanan tampaknya terbatas pada pembuatan server Tomcat – tetapi ini dapat berubah seiring perkembangan situasi. Beberapa perusahaan keamanan siber, termasuk LunaSec, mengatakan pengguna yang menjalankan Java Development Kit (JDK) versi 9 dan yang lebih baru berpotensi rentan terhadap serangan. “Versi Java tampaknya penting,” tambah Rapid7. “Eksploitasi bukti konsep ada, tetapi saat ini tidak jelas aplikasi dunia nyata mana yang menggunakan fungsionalitas rentan.” LunaSec menjalankan utas Twitter dengan pembaruan teknis. dan mengumumkan penyebaran patch darurat pada hari Kamis di Spring Framework versi 5.3.18 dan 5.2.20 melalui Maven Central. “Kerentanan berdampak pada aplikasi Spring MVC dan Spring WebFlux yang berjalan di JDK 9+,” kata pengembang. “Eksploitasi spesifik memerlukan aplikasi untuk dikemas sebagai WAR dan disebarkan ke Apache Tomcat. “Ini berarti eksploit tidak berfungsi untuk Spring Boot dengan Tomcat yang disematkan. Namun, sifat kerentanannya lebih umum, dan mungkin ada cara lain untuk mengeksploitasinya.” Rilis untuk Spring Boot sedang berlangsung dan diperkirakan akan mendarat hari ini. Jika patch tidak dapat diterapkan, Praetorian merekomendasikan mitigasi sementara dengan membuat komponen Spring baru, ControllerAdvice, yang menambahkan pola tertentu ke daftar yang ditolak. Instruksi dapat ditemukan di posting blog perusahaan. “Kerentanan kritis baru, dijuluki `Springshell` oleh komunitas open source, belum terbukti cukup berbahaya seperti kerentanan Log4j yang dikenal luas,” komentar Ilkka Turunen, field CTO di Sonatype. “Namun, popularitas besar Musim Semi dan tingkat keterampilan rendah yang diperlukan untuk mengeksekusi jenis serangan ini telah meningkatkan alarm di seluruh industri.” ANDA JUGA MENYUKAI Penyerang semakin cepat dalam mengunci kerentanan yang belum ditambal untuk kampanye peretasan sembunyi-sembunyi – report Referensi PortSwigger.com