SPRING

Check Point: 16 prosent av alle virksomheter er allerede utsatt for Spring4Shell-angrep

Én uke har gått siden sårbarheten ble kjent.

Bare en uke etter at sårbarheten ble kjent, foregår det omfattende forsøk på å utnytte Spring4Shell-sårbarheten.
Bare en uke etter at sårbarheten ble kjent, foregår det omfattende forsøk på å utnytte Spring4Shell-sårbarheten. Illustrasjon: Digi.no
Harald BrombachHarald BrombachNyhetsleder
6. apr. 2022 - 17:00

Spring4Shell er en svært alvorlig sårbarhet i det mye brukte Java-rammeverket Spring, som utgis som åpen kildekode av VMware.

Detaljer om sårbarheten (CVE-2022-22965) ble offentliggjort den 31. mars, og nettopp fordi Spring brukes i så mange ulike applikasjoner og sammenhenger, blir sårbarheten sammenlignet med Log4Shell, én av flere alvorlige sårbarheter i loggbiblioteket Log4j.

Log4Shell ble offentlig kjent i desember i fjor. 

16 prosent kan ha opplevd angrepsforsøk

I en rapport om de fire første dagene etter at Spring4Shell ble kjent, opplyser sikkerhetsselskapet Check Point at det har registrert rundt 37.000 forsøk på å utnytte sårbarheten. Basert på dette mener selskapet at 16 prosent av verdens virksomheter har blitt berørt av forsøkene. Det sies ingenting om noen av forsøkene har vært vellykkede. 

Den mest utsatte sektoren skal ifølge Check Point være programvareleverandører. 28 prosent av angrepsforsøkene skal være rettet mot slike virksomheter. Europa er den mest berørte regionen. 20 prosent av angrepsforsøkene har blitt rettet mot virksomheter i Europa. 

Også Microsoft har registrert angrepsforsøk mot selskapets egne nettskytjenester for Spring, men melder om lavt volum. Sårbarheten åpner for fjernkjøring av vilkårlig kode.

Sikkerhetsoppdateringer er tilgjengelige

Spring4Shell-sårbarheten eksisterer altså i Spring Framework. VMware ble varslet om sårbarheten, som finnes i både 5.3.x. 5.2.x og eldre serier, den 29. mars. To dager senere var sårbarheten ble fjernet med versjonene 5.3.18 og 5.2.20. Det er også gitt ut nye versjoner av Spring Boot som avhenger av Spring Framework 5.3.18. 

Hans Gustav Skavhaug, kryptovalutaekspert i KPMG Norge, kritiserer i dette innlegget digitaliseringsministeren for unyansert beskrivelse av kryptovaluta i Politisk Kvarter på NRK.
Les også

Vær forsiktig så du ikke sprer myter om kryptovaluta, Tung

Sårbarheten kan bare utnyttes i nokså spesifikke oppsett. Det er kun Spring MVC- og Spring WebFlux-applikasjoner som er berørt, og bare når de kjøres på JDK 9 eller nyere. I alle fall den spesifikke utnyttelsen som så langt er kjent, krever at applikasjonen kjøres på webserveren Apache Tomcat fra en WAR-fil (Web Archive). Men det kan bli funnet nye måter å utnytte sårbarheten på. 

Apache har derfor kommet med oppdateringer (versjonene 10.0.20, 9.0.62 og 8.5.78) til Tomcat som skal lukke den aktuelle angrepsvektoren. 

Alternative, avbøtende tiltak

Brukere som ikke kan oppdatere til de nyeste versjonene av Spring Framework kan dermed velge å oppdatere Tomcat eller nedgradere til Java 8. Det det er også mulig å forhindre utnyttelse av sårbarheten ved hjelp av en mindre konfigurasjonsendring knyttet til binding av felter. Dette er beskrevet på denne siden.

Ifølge Microsoft kan følgende kommando brukes til å avgjøre om et system er sårbart. Kommandoen skal i seg selv ikke gjøre noe skade:

curl host:port/path?class.module.classLoader.URLs%5B0%5D=0

Dersom verten svarer med en HTTP 400-respons, bør systemet anses som sårbart. 

Endelig kan det løsne for kryptert e-post, ifølge Per Thorsheim, sikkerhetskonsulent i Tietoevry.
Les også

Jubler over Microsoft-grep: – Får en vanvittig effekt for e-postsikkerheten

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.