Securitybedrijven waarschuwen voor Spring4Shell-lek in Java Spring Framework

Securitybedrijven waarschuwen voor Spring4Shell-lek in Java Spring Framework

Verschillende securitybedrijven waarschuwen voor een kritieke kwetsbaarheid in het Java Spring Framework waardoor een ongeauthenticeerde aanvaller door het versturen van een request code op kwetsbare systemen kan uitvoeren. Het beveiligingslek heeft de naam “Spring4Shell” gekregen. Een beveiligingsupdate is nog niet beschikbaar. Spring is een zeer populair framework voor het ontwikkelen van Java-applicaties.

Er is online enige verwarring over het lek ontstaan, aangezien er ook een kwetsbaarheid in Spring Cloud is gevonden, aangeduid als CVE-2022-22963. Dit lek verschilt echter van Spring4Shell en heeft wel een beveiligingsupdate ontvangen, zo melden securitybedrijven Rapid7, Lunasec, Praetorian en Cyber Kendra.

Het bestaan van Spring4Shell kwam aan het licht door een beveiligingsonderzoeker die een proof-of-concept exploit voor een onbekende kwetsbaarheid in het Spring Framework publiceerde en het mogelijk maakt voor ongeauthenticeerde aanvallers om code op kwetsbare systemen uit te voeren. De exploit werd snel verwijderd. Rapid7 laat echter weten dat de kwetsbaarheid echt is en ongeauthenticeerde remote code execution mogelijk maakt.

Spring.IO, dat het Spring Framework ontwikkelt, heeft de kwetsbaarheid nog niet bevestigd. Er is ook nog geen CVE-nummer aan het beveiligingslek toegekend. Volgens Rapid7 zijn er wel mitigaties beschikbaar, maar zijn die niet in alle scenario’s toepasbaar. Praetorian adviseert als tijdelijke oplossing om verschillende gevaarlijke patronen aan een denylist toe te voegen, wat misbruik moet voorkomen. Het bedrijf zegt alle details over een exploit voor het lek met Spring.IO te hebben gedeeld en zal geen verdere informatie geven totdat updates beschikbaar zijn.

Lunasec meldt in een blogpost dat alle gebruikers van Spring Core kwetsbaar zijn. Het securitybedrijf voegt toe dat de kwetsbaarheid niet zo ernstig is als Log4Shell. “Alle aanvalsscenario’s zijn complexer en hebben, vanwege hoe Class Loader Manipulation-aanvallen in Java werken, meer mitigatiefactoren dan Log4Shell”, aldus Lunasec-ceo Free Wortley.

Bron: https://www.security.nl/posting/748569/Securitybedrijven+waarschuwen+voor+Spring4Shell-lek+in+Java+Spring+Framework?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.

Gerelateerd nieuws

Embedded Cyber Security-markt [2023-2030] | Wereldwijde uitbreiding voorspeld

Cyber Security Days van start in Bakoe [PHOTOS]

Cyber Security Days van start in Bakoe [PHOTOS]

CHI kiest NEC XON als vertrouwde cyberbeveiligingspartner

CHI kiest NEC XON als vertrouwde cyberbeveiligingspartner

Canada, VS ‘moeten voor elkaar zorgen’ op het gebied van cyberbeveiliging: Hoofd Cybercentrum

Canada, VS ‘moeten voor elkaar zorgen’ op het gebied van cyberbeveiliging: Hoofd Cybercentrum

Nigeriaans leger versterkt partnerschap met DRDB, DSA voor operationele efficiëntie

Cyber Security Workshop gehouden in Mumbai

Cyber Security Workshop gehouden in Mumbai