TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#029-2022] [TLP:CLEAR] Kritisk 0-dagssårbarhet i Spring Boot og Spring Framework

31-03-2022

JustisCERT ønsker å varsle om en kritisk nulldagssårbarhet (CVE-2022-22965 med CVSS-score 9.8) som berører Spring Boot og Spring Framework. Sårbarheten er også omtalt som Spring4Shell og SpringShell. En angriper kan omgå autentisering for å kjøre kode på eksponerte enheter berørt av sårbarheten. Proof-of-concept (PoC)-kode for å utnytte sårbarheten er tilgjengelig.

 

Spring (VMware) har publisert mer informasjon og nødvendige oppdateringer [1].

 


Berørte produkter er:

  • Spring Boot < 2.5.12
  • Spring Boot < 2.6.6
  • Spring Framework < 5.2.20
  • Spring Framework < 5.3.18

 


Anbefalinger:

  • Patch/oppdater berørte produkter snarest
  • Avinstaller programvare som ikke benyttes
  • Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
  • Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger

 


Kilder:
[1] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement