Pesquisadores de segurança alertam sobre uma nova vulnerabilidade crítica de execução remota de código (RCE, na sigla em inglês) em uma estrutura de desenvolvedor Java popular. Os especialistas acham exagerado, porém, os relatos que circularam na internet apontando o bug como o próximo Log4Shell.
Apelidada de “SpringShell” por alguns na comunidade de segurança, a vulnerabilidade afeta o spring-core, uma estrutura amplamente usada em aplicativos Java, especificamente com o JDK9 ou execução mais recente. “A vulnerabilidade afeta qualquer pessoa que use o spring-core, uma parte central do Spring Framework, para realizar o registro, e qualquer um que use software construído no aplicativo Spring, que compõe uma grande base de software Java corporativo”, diz a Sonatype.
Segundo a fornecedora de software de gerenciamento de políticas e remediação de vulnerabilidades, o bug decorre de um problema explorado anteriormente (CVE-2010-1622) no Spring que foi corrigido no passado, mas tornou-se vulnerável novamente quando usado com o JDK9.
A Sonatype alerta que versões mais antigas do Spring que permitem reflexão Java são frequentemente expostas a bugs RCE como este. Em última análise, a exploração pode permitir que um invasor envenene uma carga útil destinada a um aplicativo Spring e obtenha controle remoto total do sistema.
Uma postagem no blog da empresa de cibersegurança Praetorian observa que, em certas configurações, a exploração do SpringShell é bastante direta, pois um invasor precisará apenas enviar uma solicitação HTTP criada para um sistema vulnerável. Outras configurações podem exigir mais trabalho para entender quais cargas úteis são eficazes, acrescentou.
Veja isso
Mitigar Log4J retardou prioridades de cyber em 2022
VMware alerta sobre ataques Log4J a servidores Horizon
O Spring é aparentemente semelhante em escala ao Struts, framework explorado no hack a Equifax, em setembro de 2017. O bug também lembra a vulnerabilidade Log4Shell descoberta em dezembro do ano passado, de acordo com a Sonatype.
No entanto, alguns especialistas jogaram água fria nos relatos que apontam que esse bug pode ser tão perigoso quanto o encontrado no utilitário Log4j. “Mais detalhes são necessários, mas as informações atuais sugerem que, para explorar a vulnerabilidade, os invasores terão que localizar e identificar instâncias de aplicativos da web que realmente usam o DeserializationUtils, algo já conhecido pelos desenvolvedores como perigoso. Se comprovado, o impacto do SpringShell tem o potencial de ser mal interpretado como sendo mais impactante ou generalizado do que pode ser”, disse a Flashpoint à Infosecurity. “Embora alguns possam comparar o SpringShell ao Log4Shell, não é semelhante em um nível mais profundo”, sustenta a empresa.
Se limitado às implementações do JDK9, como sugerem as primeiras indicações, o SpringShell também será menos prevalente que o Log4Shell, acrescentou a empresa. Os desenvolvedores do Spring agora estão travando uma corrida contra o tempo em relação à comunidade de crimes cibernéticos para desenvolver um patch antes que uma exploração fique disponível.