[JustisCERT-varsel] [#029-2022] [TLP:CLEAR] Kritisk 0-dagssårbarhet i Spring Boot og Spring Framework

JustisCERT ønsker å varsle om en kritisk nulldagssårbarhet (CVE-2022-22965 med CVSS-score 9.8) som berører Spring Boot og Spring Framework. Sårbarheten er også omtalt som Spring4Shell og SpringShell. En angriper kan omgå autentisering for å kjøre kode på eksponerte enheter berørt av sårbarheten. Proof-of-concept (PoC)-kode for å utnytte sårbarheten er tilgjengelig.

Spring (VMware) har publisert mer informasjon og nødvendige oppdateringer [1].

Berørte produkter er:

• Spring Boot < 2.5.12
• Spring Boot < 2.6.6
• Spring Framework < 5.2.20
• Spring Framework < 5.3.18

Anbefalinger:

• Patch/oppdater berørte produkter snarest
• Avinstaller programvare som ikke benyttes
• Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
• Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger

Kilder:
[1] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement