Kritieke kwetsbaarheid "Spring4Shell"

UPDATE - NCSC opent GitHub-pagina Spring4Shell

1 apr 2022, 17.10 uur

Het Nationaal Cyber Security Centrum (NCSC) heeft een publieke GitHub-pagina Spring4Shell geopend. In deze samenwerkomgeving wordt een actueel overzicht bijgehouden van de software en applicaties waarvan bekend is dat ze ontwikkeld zijn met behulp van Spring Framework java. Er wordt gelogd in hoeverre de kwetsbaarheid aanwezig is. Ook wordt op deze centrale plek bijgehouden wanneer en of updates beschikbaar zijn. Bedrijven worden uitgenodigd om dit overzicht van applicaties aan te vullen.

Ook biedt deze Spring4Shell-pagina een lijst met tools waarmee je lokaal kunt scannen op de aanwezigheid van de Spring4Shell-kwetsbaarheid. Let op: de betrouwbaarheid van deze tools is niet gevalideerd, gebruik is voor eigen risico.
 

UPDATE - Lokale scan beschikbaar

1 apr 2022, 10.23 uur

Er is meer duidelijkheid rondom de kwetsbaarheid in Spring Core Framework (CVE-2022-22965) genaamd Spring4Shell.

Om misbruik te kunnen maken van deze kwetsbaarheid zijn er momenteel diverse randvoorwaarden bekend, het is mogelijk dat deze lijst nog niet compleet is. Zover nu bekend is de applicatie kwetsbaar als deze voldoet aan de volgende voorwaarden:

• Maakt gebruik van Spring Core Framework (tot en met versie 5.3.17);
• Maakt gebruik van form bindings met "name=value" data;
• Maakt geen gebruik van een allowlist of denylist waarbij het gebruik van specifieke velden wordt uitgesloten (zoals "class", "module" en "classLoader");
• Draait op Java 9 of hoger.

Het DTC adviseert bedrijven om na te gaan of applicaties gebruik maken van Spring Core Framework. Kun je dit niet zelf? Neem dan contact op met je softwareleverancier.

Er is een lokale scan tool beschikbaar gesteld vanuit een betrouwbare bron waarmee getest kan worden of jouw applicatie kwetsbaar is.

Het advies blijft om Spring Core Framework te updaten naar versies 5.3.18 of 5.2.20.
 

UPDATE  -   Beveiligingsupdates beschikbaar

31 mrt 2022, 15 uur

Diverse online bronnen melden dat er actieve pogingen tot misbruik zijn waargenomen. Deze meldingen zijn nog onbevestigd.

De ontwikkelaar Spring.io heeft updates beschikbaar gesteld voor Spring Core Framework. We adviseren bedrijven om te updaten naar versies 5.3.18 of 5.2.20.

De kwetsbaarheid Spring4Shell wordt nu aangemerkt als CVE-2022-22965.

Bij een getroffen applicatie bestaan de mitigerende maatregelen uit aanpassingen aan de code. Zo kan een aanval - die in een serie van stappen moet worden uitgevoerd - worden gestopt door blacklisting toe te passen op de functie DataBinder volgens deze bron.

Methodes om te bepalen of een applicatie kwetsbaar is, lees je via deze link.

Oorspronkelijke bericht

31 maart 2022 - 11.25 uur

Er is een ernstige kwetsbaarheid ontdekt in Spring Core Framework. Het betreft een zogenoemde 'zero-day' wat betekent dat er nog geen beveiligingsupdate beschikbaar is om misbruik te voorkomen. Deze kwetsbaarheid is bekend onder de naam “Spring4Shell”.

De afgelopen dagen wordt er door verschillende security onderzoekers (1, 2) gesproken over een zero-day kwetsbaarheid in Spring Core Framework. Gaandeweg wordt er meer informatie bekend over deze kwetsbaarheid. Inmiddels heeft het Nationaal Cyber Security Centrum (NCSC) een beveiligingsadvies uitgegeven met High/High classificering; er is een grote kans op misbruik en de schade kan groot zijn.

Wat is het probleem?

Spring Core Framework is een verzameling van Java-bibliotheken die kunnen worden gebruikt in softwareprogramma's die in de computertaal Java zijn geschreven. Spring Core is ingebakken in veel Java-software. De kwetsbaarheid maakt het mogelijk dat een kwaadwillende - zonder dat daar authenticatie voor nodig is - in bepaalde omstandigheden willekeurige code kan uitvoeren en zo toegang kan krijgen tot het programma/applicatie en de informatie in dat programma/applicatie.

Hoe groot is het risico op misbruik?

Deze kwetsbaarheid is een zogenoemde zero-day-kwetsbaarheid. Volgens het Cybersecurity Woordenboek is een zero-day: “een zwakke plek in software of hardware die nog niet bij de leverancier bekend is en dus ook nog niet is hersteld. Omdat de zwakke plek nog niet bekend is, kan niemand zich er goed tegen beschermen. De zwakke plek is pas een risico als er een exploit voor is gemaakt die de zwakke plek effectief weet te misbruiken.”

Voor deze kwetsbaarheid betekent het dat er nog geen beveiligingsupdate beschikbaar is die deze kwetsbaarheid kan verhelpen. Daarbij melden verschillende bronnen, waaronder het NCSC, dat er zogenaamde Proof-of-Concept-code beschikbaar is. Dit betekent dat is aangetoond dat je technisch gezien de kwetsbaarheid kunt uitbuiten. Er is op dit moment nog geen daadwerkelijk misbruik vastgesteld, maar dit wordt wel verwacht. 

Wat kun je doen?

Er is nog veel onduidelijk over deze kwetsbaarheid en welke maatregelen je kunt en moet nemen. Verschillende bronnen melden mogelijke beperkende maatregelen om misbruik van deze kwetsbaarheid te voorkomen (1, 2). Ook in het eerder genoemde NCSC beveiligingsadvies wordt een maatregel genoemd.
Het DTC adviseert: neem contact op met je softwareleverancier als je vermoedt dat je geraakt kunt worden.
Dit advies wordt vooral ingegeven door de technische complexiteit van de kwetsbaarheid en de aard van de op dit moment te nemen maatregelen. Deze lijken vooralsnog alleen te werken door wijzigingen door te voeren in de code van de software.

Waar vind je meer informatie?

(1) https://www.contrastsecurity.com/security-influencers/new-spring4shell-vulnerability-confirmed-what-it-is-and-how-to-be-prepared
(2) https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/

En verder: 

• https://tanzu.vmware.com/security/cve-2022-22965
• https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0221
• https://www.contrastsecurity.com/security-influencers/new-spring4shell-vulnerability-confirmed-what-it-is-and-how-to-be-prepared

Deze pagina wordt aangevuld wanneer de situatie verandert.