La vulnérabilité de Spring pourrait potentiellement être le prochain Log4Shell

Must Try

Une vulnérabilité récemment découverte dans Spring Cloud Function pourrait avoir le potentiel d’être le prochain Log4shell, selon des chercheurs en sécurité aujourd’hui.

La vulnérabilité, baptisée « Spring4Shell », se trouve dans les versions 3.16, 3.22 et antérieures de Spring Cloud Function. Spring est un framework de développement de plateforme Java léger et open source. Des millions utilisent le service, d’où la possibilité qu’il ait un impact similaire à celui de Log4Shell.

Un attaquant peut exploiter la vulnérabilité via l’exécution de code à distance et compromettre le réseau sur lequel Spring s’exécute. Avec cet accès, tout est possible, du vol de données à la mise hors service d’un site entier.

Il y a un conflit dans la communauté de la sécurité quant à la gravité exacte de Spring4Shell. Il n’y a même pas de consensus sur ce qu’il faut appeler, certains l’appelant « SpringShell ». Certains rapports suggèrent que la vulnérabilité a un score Common Vulnerability Scoring System de 9,0, mais la liste Common Vulnerabilities and Exposures classe la gravité à moyenne.

Ce qui est clair, c’est que Spring4Shell est un risque. Bleeping Computer a signalé qu’un exploit pour la vulnérabilité avait été brièvement divulgué en ligne, puis supprimé. Qu’il ait ensuite été supprimé n’est pas la partie importante; c’est qu’un exploit existe déjà.

Spring a publié une mise à jour pour corriger la vulnérabilité et les utilisateurs sont invités à mettre à jour immédiatement.

« Ce qui a fait de log4j un tel problème, c’est qu’il est souvent installé sur des appliances et d’autres appareils » sans tête « qui ne sont pas entretenus par le client final », a déclaré John Bambenek, principal chasseur de menaces de la société de gestion de services informatiques Netenrich Inc., à SiliconANGLE. « On ne sait pas dans quelle mesure cela sera vrai pour le printemps, mais tout problème RCE devrait être directement traité en haut de la pile pour que les équipes de sécurité le traitent. »

Mike Parkin, ingénieur technique senior de la société de gestion des cyber-risques Vulcan Cyber ​​Ltd., a noté qu’il n’y a pas encore suffisamment d’informations détaillées pour déterminer à quel point cette vulnérabilité sera dangereuse dans la nature et à quel point elle se répandra si elle s’avère être une menace sérieuse.

« Heureusement, certaines organisations d’atténuation peuvent mettre en place, à la fois dans le code utilisant le framework Spring et au niveau WAF, et le développeur de Spring semble déjà travailler sur un correctif », a expliqué Parkin. « Un défi potentiel à long terme si cela s’avère être un autre problème de niveau log4j, sera de trouver et de mettre à jour tous les projets qui exploitent le framework Spring. »

Jeff Costlow, responsable de la sécurité des informations chez le fournisseur de solutions de cybersécurité natives du cloud ExtraHop Networks Inc., a déclaré que les équipes de sécurité doivent comprendre immédiatement quels logiciels et appareils pourraient être affectés et identifier s’il existe des appareils vulnérables dans leur environnement.

« Cela peut être remarquablement difficile car de nombreuses organisations ont du mal à maintenir un inventaire à jour des appareils, sans parler de la capacité de détecter les types et les versions de logiciels exécutés sur ces appareils », a déclaré Costlow.

Image: Spring Montrez votre soutien à notre mission en rejoignant notre Cube Club et notre communauté d’experts Cube Event. Rejoignez la communauté qui comprend Amazon Web Services et le PDG d’Amazon.com Andy Jassy, ​​le fondateur et PDG de Dell Technologies Michael Dell, le PDG d’Intel Pat Gelsinger et bien d’autres sommités et experts. .

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Latest Recipes

Block title

More Recipes Like This

Voir aussi