[JustisCERT-varsel] [#028-2022] [TLP:CLEAR] Sårbarheter i Spring Cloud Function og Spring Framework

JustisCERT ønsker å varsle om en sårbarhet (CVE-2022-22963 med CVSS-score 5.4) i Spring Cloud Function. En angriper kan omgå autentisering for å kjøre kode på eksponerte enheter berørt av sårbarheten. VMware har kategorisert sårbarheten som medium [1], men skriver samtidig at de anbefaler alle å oppdatere berørte installasjoner umiddelbart [2]. Proof-of-concept (PoC)-kode for å utnytte sårbarheten er tilgjengelig og viser hvordan kalkulator kan startes på et berørt system, noe en ondsinnet aktør kan tilpasse for å kjøre annen/ønsket kode [3].

Spring (VMware) har også rettet en sårbarhet (CVE-2022-22950 med CVSS-score 5.4) i Spring Framework [4].

Nødvendige oppdateringer er publisert [2][5].

Berørte produkter er:

• Spring Cloud Function < 3.1.7
• Spring Cloud Function < 3.2.3
• Spring Framework < 5.3.17

Anbefalinger:

• Patch/oppdater berørte produkter
• Avinstaller programvare som ikke benyttes
• Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
• Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger

Kilder:
[1] https://tanzu.vmware.com/security/cve-2022-22963
[2] https://spring.io/blog/2022/03/29/cve-report-published-for-spring-cloud-function
[3] https://nakedsecurity.sophos.com/2022/03/30/vmware-spring-cloud-java-bug-gives-instant-remote-code-execution-update-now/
[4] https://tanzu.vmware.com/security/cve-2022-22950
[5] https://spring.io/blog/2022/03/28/cve-report-published-for-spring-framework