|
Fecha de publicación: 31/03/2022
Nivel de peligrosidad: CRÍTICO
El CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de dos vulnerabilidades, una de ellas de tipo zero-day, que afecta a Java Spring.
Se ha hecho pública una vulnerabilidad de tipo zero-day que afecta al framework Spring Core Java, plataforma de código abierto que proporciona soporte de infraestructura integral para desarrollar aplicaciones Java, muy popular entre los desarrolladores de software.
Esta vulnerabilidad, catalogada como crítica, a la que se le ha denominado Spring4Shell y asignado el CVE-2022-22965, fue notificada el pasado 29 de marzo por esta web de ciberseguridad china. En determinadas circunstancias, permite que un atacante ejecute código arbitrario de forma remota (RCE), si bien, inicialmente se pensó que afectaría a todas las aplicaciones de Spring que se ejecutan en Java 9 o superior, se ha determinado que existen requisitos específicos que se deben cumplir para que una aplicación de Spring sea vulnerable.
No obstante, lo más preocupante ha sido la filtración de un exploit para aprovechar esta vulnerabilidad que, aunque fue eliminado a las pocas horas, algunos investigadores pudieron descargar el código y realizar las pertinentes pruebas, confirmando que la vulnerabilidad es explotable.
Desde la plataforma REYES se están desarrollando listas negras para esta vulnerabilidad con los indicadores de compromiso proporcionados por nuestras fuentes, aunque por el momento no se ha encontrado nada relevante.
Vulnerabilidad en Spring Cloud Function
Asimismo, se ha notificado otra vulnerabilidad que afecta a Spring Cloud Function, que permite a los desarrolladores escribir funciones independientes en la nube utilizando las características de Spring. Estas aplicaciones se pueden implementar en servidores, como por ejemplo Apache Tomcat, como paquetes independientes con todas las dependencias requeridas.
Esta vulnerabilidad, catalogada con una criticidad media, a la que se le asignó el CVE-2022-22963, y de la que ya se ha publicado el parche, aprovecha una deserialización insegura de los argumentos utilizados en la función Spring Cloud, lo que permite que un atacante pueda ejecutar comandos de forma remota. En ciertas configuraciones la explotación de este problema es sencilla, ya que solo requiere que un atacante envíe una solicitud POST diseñada a un sistema vulnerable. No obstante, la explotación en otras configuraciones requerirá que el atacante realice una investigación adicional para encontrar solicitudes que sean efectivas.
Recursos afectados:
Para la vulnerabilidad Spring4Shell en un principio se pensó que afectaría a todas las aplicaciones de Spring que se ejecutan en Java 9 o superior, más tarde se determinó que existen requisitos específicos que se deben cumplir para que una aplicación de Spring sea vulnerable. El analista de vulnerabilidades Will Dormann indicó en su cuenta de Twitter estos requisitos para que un ataque aprovechando esta vulnerabilidad tuviera éxito.
En lo referente a la vulnerabilidad CVE-2022-22963, sólo se ve afectado el enrutamiento dinámico de algunas configuraciones específicas de las siguientes versiones:
- Spring Cloud Function desde la versión 3 hasta la versión 3.2.2 (ambas incluidas).
Solución a las vulnerabilidades:
En las últimas horas se ha hecho público un parche que aborda la vulnerabilidad CVE-2022-22965 y que puede ser localizado en el siguiente enlace:
Adicionalmente, el blog de Praetorian describe una forma de mitigar parcialmente los ataques a la vulnerabilidad Spring4Shell (CVE-2022-22965) al no permitir que se pasen patrones específicos a la funcionalidad Spring Core DataBinder.
Para la vulnerabilidad catalogada bajo el CVE-2022-22963 se debe actualizar la aplicación a la versión más reciente disponible en el siguiente enlace:
- Spring Cloud Function 3.2.3.
Recomendaciones:
Se recomienda a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, se desconocen medidas de mitigación alternativas a las ya mencionadas para solucionar estas vulnerabilidades.
Referencias:
Atentamente,
Equipo CCN-CERT
|
