NCSC waarschuwt voor ernstige remote code execution-bug in Java Spring Framework – Computer – Nieuws

Verschillende beveiligingsbedrijven en overheidsinstanties waarschuwen voor een ernstig lek in het Java Spring Framework. Die bug, met de bijnaam Spring4Shell, maakt het mogelijk om op afstand code uit te voeren op systemen. Misschien vinden er al aanvallen plaats.

De waarschuwing komt onder andere van beveiligingsbedrijf Rapid7, maar ook het Nederlandse Digital Trust Center en het NCSC waarschuwen voor de kwetsbaarheid. Die heeft inmiddels de bijnaam Spring4Shell gekregen. De kwetsbaarheid zit in het Spring Core Framework van Java. Dat framework wordt gemaakt door Spring.io, dat onderdeel is van VMware. Spring Core is ingebakken in veel Java-software. Het NCSC heeft de bug aangemerkt met de classificatie High/High.

De kwetsbaarheid maakt het mogelijk om een remote code execution uit te voeren zonder dat daar authenticatie voor nodig is. De bug zit in functies die @RequestMapping gebruiken. Aanvallers kunnen vanaf een afstand een webshell opzetten in een rootdirectory waar de software op draait. Volgens Rapid7 zit de bug niet in alle Java-versies; het bedrijf zegt hem succesvol te kunnen uitbuiten op OpenJDK 11.0.14.1, maar niet op 1.8.0_312. Spring.io zegt in een blogpost dat alleen gebruikers van JDK 9 of hoger kwetsbaar zijn. Ook zijn alleen gebruikers kwetsbaar die Apache Tomcat op een server hebben draaien. Het bedrijf waarschuwt dat er verschillende manieren kunnen zijn om de kwetsbaarheid uit te voeren.

Ontwikkelaar Spring.io heeft inmiddels een update beschikbaar gesteld die het lek kan dichten. Die kwam donderdagmiddag uit. De bug is in Spring Framework-versies 5.3.18 en 5.2.20 verholpen. Aanvankelijk was er onduidelijkheid over de bug, omdat onder andere het NCSC waarschuwde voor een andere kwetsbaarheid in de Spring Cloud Function van Java. Die bug kreeg de code CVE-2022-22963 mee, maar heeft volgens beveiligingsbedrijven en -instanties niets te maken met Spring4Shell, dat vooralsnog geen CVE-classificatie heeft gekregen.

Rapid7 zegt dat het de bug op het spoor kwam nadat een beveiligingsonderzoeker een proof-of-conceptexploit had uitgebracht waarbij hij code via Spring Framework kon uitvoeren, maar details over die kwetsbaarheid waren niet bekend. Rapid7 zegt nu dat het die kwetsbaarheid heeft achterhaald. Het bedrijf waarschuwt dan ook dat het proof-of-concept inmiddels al actief zou kunnen worden ingezet, al zijn daar nog geen concrete aanwijzingen voor.