info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

Spring4Shell در جمع آسیب‌پذیری‌های شناخته شده CISA

خلاصه: آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، آسیب‌پذیری Spring4Shell  را که اخیراً فاش شده است، به فهرست آسیب‌پذیری‌های شناخته شده خود اضافه کرد.

 

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، نقص جدید CVE-2022-22965 معروف به Spring4Shell، با امتیاز ۹.۸ را به همراه سه مشکل دیگر به فهرست آسیب‌پذیری‌های شناخته شده خود اضافه کرد. جدی بودن SpringShell زمانی تایید شد که  CISA آن را به فهرست آسیب‌پذیری‌های شناخته شده خود اضافه کرد، به این معنی که همه آژانس‌های غیرنظامی موظف هستند آن را در بازه زمانی محدود اصلاح کنند. این کار را به منظور کاهش خطر قابل توجه آسیب‌پذیری‌های شناخته شده از شبکه‌های خود در برابر حملاتی که از نقص‌های موجود در فهرست آسیب‌پذیری‌ها سوءاستفاده می‌کنند، انجام می‌دهند. کارشناسان همچنین به سازمان‌های خصوصی توصیه می‌کنند که فهرست آسیب‌‎پذیری‌ها را بررسی کرده و آسیب‌پذیری‌های زیرساخت خود را برطرف کنند. مشکل Spring4Shell هفته گذشته فاش شد و در چارچوب Spring Core Java قرار دارد. مهاجمِ از راه دور و احراز اصالت نشده می‌تواند آسیب‌پذیری را برای اجرای کد دلخواه در سیستم هدف ایجاد کند. این فریم‌ورک در حال حاضر توسط Spring.io که یکی از زیرمجموعه‌های VMware است، نگهداری می‌شود.

Spring Framework  چارچوب کاربردی و وارونگی کانتینر کنترل[۱]  برای پلتفرم جاوا است. ویژگی‌های اصلی فریم‌ورک را می‌توان در هر برنامه جاوا استفاده کرد، اما افزونه‌هایی برای ساخت برنامه‌های وب در پلت‌فرم JavaEE وجود دارد. این آسیب‌پذیری پس از آن افشا شد که محقق امنیتی چینی یک سوءاستفاده اثبات مفهوم (PoC[۲]) را قبل از حذف حساب خود (helloexp) منتشر کرد. این هفته VMware به‌روزرسانی‌های امنیتی را برای رفع نقص Spring4Shell منتشر کرده است، به گفته غول مجازی‌سازی، این نقص بر بسیاری از محاسبات ابری و محصولات مجازی‌سازی آن تأثیر می‌گذارد. برنامه‌های مهمی که این آسیب‌پذیری بر آن‌ها تاثیر می‌گذارد، شامل موارد زیر است:

  • Spring model–view–controller ‪(MVC)‬
  • Spring WebFlux
  • سرویس برنامه کاربردی VMware Tanzu برای VMs
  • VMware Tanzu Operations Manager
  • VMware Tanzu Kubernetes Grid Integrated Edition ‪(TKGI)‬

استفاده از این نقص می‌تواند به مهاجم از راه دور اجازه دهد تا کد دل‌خواه را روی سیستم‌های آسیب پذیر اجرا کند. محققان از Palo Alto Networks Unit42 و Akamai مشاهده کرده‌اند که این مشکل برای استقرار کدهای مخرب مورد سوءاستفاده قرار می‌گیرد. CISA،  همچنین نقص‌های زیر را به فهرست خود اضافه کرده است اما به نظر می‌رسد به جدی بودن نقص RCE نیستند. چهار آسیب‌پذیری اضافه شده به فهرست باید توسط آژانس‌های فدرال تا ۲۵ آوریل ۲۰۲۲ برطرف شود.

  • CVE-2022-22675
  • CVE-2022-22674
  • CVE-2021-45382

 

 

[۱] inversion of control container

[۲] proof-of-concept