La sécurité Internet est un sujet constant et des problèmes surviennent régulièrement avec le nouveau Spring4Shell. Ils interrogent les utilisateurs et leurs données, ainsi que les services qui sont fournis au-dessus de ces plateformes.

C’est encore un autre défaut de Java et de ses composants, avec un degré de gravité élevé. Après Log4j, c’est un autre problème sérieux qu’il faut résoudre au plus vite, pour assurer la sécurité de tous.

Spring4Shell : le nouveau défaut de Java

Une nouvelle enquête menée par des experts en sécurité a révélé une autre faille dans Java. Celui-ci est présent dans le framework Java Spring Core et s’appelle « Spring4Shell », ayant été révélé publiquement, CVE-2022-22963, connu pour permettre l’exécution à distance de code non authentifié dans les applications.

Il suit la même ligne que le célèbre Log4j et a une grande pertinence. Cela laisse les services qui utilisent ce framework vulnérables et exposés à des attaques de différents types. Le code pour son exploration est déjà disponible dans certains cercles et est connu pour être utilisé.

Un exploit Java Springcore RCE 0day a été divulgué. Il a été divulgué par un chercheur en sécurité chinois qui, depuis qu’il l’a partagé et/ou divulgué, a supprimé son compte Twitter. Nous n’avons pas vérifié l’exploit. tl;dr gros si vrai Téléchargez le POC 0day ici : https://t.co/SgPCdI00TS — vx-underground (@vxunderground) 30 mars 2022

Les applications et les services sont vulnérables

Bien qu’encore en cours d’évaluation, la nouvelle faille Spring4Shell semble être extrêmement critique et susceptible d’exposer les services et les applications là où elle est présente. Si les conditions sont remplies, il est possible de placer des fichiers sur des serveurs, qui sont ensuite utilisés pour voler des données.

Une bonne nouvelle qui est apparue est toutefois venue mettre un peu de calme dans ce processus. Une analyse préliminaire a déterminé que la présence de « Spring Beans » est requise, en utilisant « Spring Parameter Binding » et qu’une « Spring Parameter Binding » doit être configurée pour utiliser un type de paramètre non basique tel que les POJO.

La requête non malveillante suivante peut être utilisée pour tester la sensibilité au @springframework 0 jour CER. Un code de retour HTTP 400 indique une vulnérabilité. $ curl host:port/path?class.module.classLoader.URLs%5B0%5D=0#SpringShell #Spring4Shell #infosec – Équipe d’attaque Randori (@RandoriAttack) 30 mars 2022

Les mises à jour sont indispensables pour l’instant

La recommandation pour l’instant est de mettre à jour toutes les applications et tous les services qui utilisent Java version 9 ou ultérieure. Des correctifs devraient apparaître dans les prochains jours et supprimer définitivement la vulnérabilité Spring4Shell.

On pense que cela pourrait avoir le même impact que Log4j, et cela n’a pas encore été résolu dans de nombreux cas. Compte tenu des exigences pour exploiter cette faille, il est trop tôt pour dire combien d’applications et de services pourraient être vulnérables.