Log in
logo

COUNTERING CYBER THREATS

barra-separadora
Cabecera
separador
Vulnerabilidad zero-day en Java Spring

Fecha de publicación: 31/03/2022
Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de dos vulnerabilidades, una de ellas de tipo zero-day, que afecta a Java Spring.

Se ha hecho pública una vulnerabilidad de tipo zero-day que afecta al framework Spring Core Java, plataforma de código abierto que proporciona soporte de infraestructura integral para desarrollar aplicaciones Java, muy popular entre los desarrolladores de software.

Esta vulnerabilidad, catalogada como crítica, a la que se le ha denominado Spring4Shell y asignado el CVE-2022-22965, fue notificada el pasado 29 de marzo por esta web de ciberseguridad china. En determinadas circunstancias, permite que un atacante ejecute código arbitrario de forma remota (RCE), si bien, inicialmente se pensó que afectaría a todas las aplicaciones de Spring que se ejecutan en Java 9 o superior, se ha determinado que existen requisitos específicos que se deben cumplir para que una aplicación de Spring sea vulnerable.

No obstante, lo más preocupante ha sido la filtración de un exploit para aprovechar esta vulnerabilidad que, aunque fue eliminado a las pocas horas, algunos investigadores pudieron descargar el código y realizar las pertinentes pruebas, confirmando que la vulnerabilidad es explotable. 

Desde la plataforma REYES se están desarrollando listas negras para esta vulnerabilidad con los indicadores de compromiso proporcionados por nuestras fuentes, aunque por el momento no se ha encontrado nada relevante.

Vulnerabilidad en Spring Cloud Function

Asimismo, se ha notificado otra vulnerabilidad que afecta a Spring Cloud Function, que permite a los desarrolladores escribir funciones independientes en la nube utilizando las características de Spring. Estas aplicaciones se pueden implementar en servidores, como por ejemplo Apache Tomcat, como paquetes independientes con todas las dependencias requeridas.

Esta vulnerabilidad, catalogada con una criticidad media, a la que se le asignó el CVE-2022-22963, y de la que ya se ha publicado el parche, aprovecha una deserialización insegura de los argumentos utilizados en la función Spring Cloud, lo que permite que un atacante pueda ejecutar comandos de forma remota. En ciertas configuraciones la explotación de este problema es sencilla, ya que solo requiere que un atacante envíe una solicitud POST diseñada a un sistema vulnerable. No obstante, la explotación en otras configuraciones requerirá que el atacante realice una investigación adicional para encontrar solicitudes que sean efectivas.

Recursos afectados:      

Para la vulnerabilidad Spring4Shell en un principio se pensó que afectaría a todas las aplicaciones de Spring que se ejecutan en Java 9 o superior, más tarde se determinó que existen requisitos específicos que se deben cumplir para que una aplicación de Spring sea vulnerable. El analista de vulnerabilidades Will Dormann indicó en su cuenta de Twitter estos requisitos para que un ataque aprovechando esta vulnerabilidad tuviera éxito.

En lo referente a la vulnerabilidad CVE-2022-22963, sólo se ve afectado el enrutamiento dinámico de algunas configuraciones específicas de las siguientes versiones:

  • Spring Cloud Function desde la versión 3 hasta la versión 3.2.2 (ambas incluidas).

Solución a las vulnerabilidades:

En las últimas horas se ha hecho público un parche que aborda la vulnerabilidad CVE-2022-22965 y que puede ser localizado en el siguiente enlace:

Adicionalmente, el blog de Praetorian describe una forma de mitigar parcialmente los ataques a la vulnerabilidad Spring4Shell (CVE-2022-22965) al no permitir que se pasen patrones específicos a la funcionalidad Spring Core DataBinder.

Para la vulnerabilidad catalogada bajo el CVE-2022-22963 se debe actualizar la aplicación a la versión más reciente disponible en el siguiente enlace:

  • Spring Cloud Function 3.2.3.

Recomendaciones:

Se recomienda a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, se desconocen medidas de mitigación alternativas a las ya mencionadas para solucionar estas vulnerabilidades.

Referencias:

Atentamente,

Equipo CCN-CERT

 
 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2022 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Go back

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración