Spring4Shell: Microsoft, CISA Peringatkan Potensi Eksploitasi

Microsoft dan CISA telah memperingatkan eksploitasi `Spring4Shell` di alam liar.

Seperti yang sebelumnya dilaporkan oleh The Daily Swig, dalam seminggu terakhir, pengembang Spring Framework telah merilis tambalan yang menangani CVE-2022-22963, kerentanan injeksi kode di Spring Cloud Function, dan bahkan lebih berbahaya CVE-2022-22965, yang sejak itu memperoleh nama `Spring4Shell`, atau `SpringShell`.

Yang terakhir dari dua bug adalah penyebab utama kekhawatiran di antara perusahaan. Spring4Shell adalah kerentanan kritis dalam modul Core berbasis Java Spring Framework open source VMWare (JDK 9+) dan, jika dieksploitasi, dapat digunakan untuk mencapai eksekusi kode jarak jauh (RCE).

Spring4Shell didasarkan pada bug lama yang dilacak sebagai CVE-2010 -1622 dan ditambal pada tahun 2010. JDK 9+ memiliki dua metode pembatasan kotak pasir, tidak seperti versi sebelumnya yang menyertakan satu metode – dan perubahan dalam pengkodean ini telah membuat bypass untuk bug lama untuk muncul kembali.

Kode eksploit telah dipublikasikan secara online.

Reverse shell

Pada 4 April , Tim Intelijen Ancaman Pembela Microsoft 365 mengatakan bahwa penyerang dapat memicu kelemahan ini dengan mengirimkan kueri yang dibuat dengan jahat ke server web Apache Tomcat yang menjalankan versi Spring Core yang rentan.

Microsoft telah melacak upaya eksploitasi “volume rendah” di seluruh layanan cloudnya menggunakan Spring4Shell, dengan banyak upaya yang diselaraskan dengan kode web shell proof-of-concept (PoC) dasar yang tersedia secara online.

“PoC menetapkan konten menjadi web JSP shell dan jalur di dalam direktori ROOT aplikasi web Tomcat, yang pada dasarnya menjatuhkan shell terbalik di dalam Tomcat,” kata Microsoft.

“Agar aplikasi web menjadi rentan, perlu menggunakan fitur pemetaan permintaan Spring, dengan fungsi handler menerima Objek Java sebagai parameter.”

CISA alert

The US Cybersecurity and Infrastructure Security Agency (CISA) juga mengeluarkan peringatan pada tanggal 1 April tentang kerentanan Spring4Shell dan Spring Cloud Function.

Selain VMware, agensi mendesak administrator untuk menerapkan perbaikan guna mengatasi masalah ini mendesak.

Pusat Koordinasi CERT telah menyediakan daftar dampak vendor. Tampaknya perangkat lunak yang menggunakan Spring yang ditawarkan oleh organisasi termasuk Blueriq, Cisco, Jamf, PTC, Atlassian`s ACSB, dan Red Hat terpengaruh.

Perusahaan termasuk F5 dan Fortinet sedang menyelidiki masalah ini dan potensi dampak pelanggan.

Advisories juga telah dirilis untuk produk VMWare memanfaatkan kerangka Spring dan, oleh karena itu, rentan terhadap CVE-2022-22965: Layanan Aplikasi VMware Tanzu untuk VM, Manajer Operasi Tanzu, dan Tanzu Kubernetes Grid Integrated Edition (TKGI).

Patches telah dikembangkan dan dirilis di Spring Framework versi 5.3.18 dan 5.2.20. Selain itu, proyek ini juga telah mendorong perbaikan di Spring Boot 2.6.6 dan Spring Boot 2.5.12.

Spring telah merilis panduan `Apakah saya terpengaruh?` di samping solusi jika penambalan langsung tidak memungkinkan. Ruang Siber dan Kebijakan Digital untuk meningkatkan keamanan siber di seluruh negara

Referensi PortSwigger.com