Abonner
SPRING

Check Point: 16 prosent av alle virksomheter er allerede utsatt for Spring4Shell-angrep

Én uke har gått siden sårbarheten ble kjent.

Bare en uke etter at sårbarheten ble kjent, foregår det omfattende forsøk på å utnytte Spring4Shell-sårbarheten.
Bare en uke etter at sårbarheten ble kjent, foregår det omfattende forsøk på å utnytte Spring4Shell-sårbarheten. Illustrasjon: Digi.no
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
6. apr. 2022 - 17:00

Spring4Shell er en svært alvorlig sårbarhet i det mye brukte Java-rammeverket Spring, som utgis som åpen kildekode av VMware.

Detaljer om sårbarheten (CVE-2022-22965) ble offentliggjort den 31. mars, og nettopp fordi Spring brukes i så mange ulike applikasjoner og sammenhenger, blir sårbarheten sammenlignet med Log4Shell, én av flere alvorlige sårbarheter i loggbiblioteket Log4j.

Log4Shell ble offentlig kjent i desember i fjor. 

Artikkelen fortsetter etter annonsen
annonsørinnhold
Tietoevry
– Vi tilbyr datasettene som er nødvendig for å gi bedriftene innsikten de trenger

16 prosent kan ha opplevd angrepsforsøk

I en rapport om de fire første dagene etter at Spring4Shell ble kjent, opplyser sikkerhetsselskapet Check Point at det har registrert rundt 37.000 forsøk på å utnytte sårbarheten. Basert på dette mener selskapet at 16 prosent av verdens virksomheter har blitt berørt av forsøkene. Det sies ingenting om noen av forsøkene har vært vellykkede. 

Den mest utsatte sektoren skal ifølge Check Point være programvareleverandører. 28 prosent av angrepsforsøkene skal være rettet mot slike virksomheter. Europa er den mest berørte regionen. 20 prosent av angrepsforsøkene har blitt rettet mot virksomheter i Europa. 

Også Microsoft har registrert angrepsforsøk mot selskapets egne nettskytjenester for Spring, men melder om lavt volum. Sårbarheten åpner for fjernkjøring av vilkårlig kode.

Sikkerhetsoppdateringer er tilgjengelige

Spring4Shell-sårbarheten eksisterer altså i Spring Framework. VMware ble varslet om sårbarheten, som finnes i både 5.3.x. 5.2.x og eldre serier, den 29. mars. To dager senere var sårbarheten ble fjernet med versjonene 5.3.18 og 5.2.20. Det er også gitt ut nye versjoner av Spring Boot som avhenger av Spring Framework 5.3.18. 

I over to måneder lå et sikkerhetshull hos Norwegian-underleverandøren SFS tilgjengelig.
Les også

Personinformasjon om minst 16.000 Norwegian-kunder på avveie

Sårbarheten kan bare utnyttes i nokså spesifikke oppsett. Det er kun Spring MVC- og Spring WebFlux-applikasjoner som er berørt, og bare når de kjøres på JDK 9 eller nyere. I alle fall den spesifikke utnyttelsen som så langt er kjent, krever at applikasjonen kjøres på webserveren Apache Tomcat fra en WAR-fil (Web Archive). Men det kan bli funnet nye måter å utnytte sårbarheten på. 

Apache har derfor kommet med oppdateringer (versjonene 10.0.20, 9.0.62 og 8.5.78) til Tomcat som skal lukke den aktuelle angrepsvektoren. 

Alternative, avbøtende tiltak

Brukere som ikke kan oppdatere til de nyeste versjonene av Spring Framework kan dermed velge å oppdatere Tomcat eller nedgradere til Java 8. Det det er også mulig å forhindre utnyttelse av sårbarheten ved hjelp av en mindre konfigurasjonsendring knyttet til binding av felter. Dette er beskrevet på denne siden.

Ifølge Microsoft kan følgende kommando brukes til å avgjøre om et system er sårbart. Kommandoen skal i seg selv ikke gjøre noe skade:

curl host:port/path?class.module.classLoader.URLs%5B0%5D=0

Dersom verten svarer med en HTTP 400-respons, bør systemet anses som sårbart. 

Denne hare-apen ble solgt for 53 ETH for et knapt år siden. Nå er høyeste bud på under 13.
Les også

Kan vi endelig erklære NFT-hypen for død?

Les mer om:
SÅRBARHETERSIKKERHETSPRINGSPRING4SHELL
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Etterretningstjenesten
Fagdirektør informasjonssikkerhet
Etterretningstjenesten
Oslo
21. mai
    En tjeneste fra