Vulnérabilités critiques dans Spring Cloud et Spring Framework (Spring4shell)

Date de publication :

Un article relatif à la vulnérabilité CVE-2022-22965 (Spring4shell) a été publié sur le site cyberveille-santé dont le lien est disponible en référence.

Spring est un framework open-source dédié à la conception et à la définition de l’infrastructure d’applications Java.

SpEL (Spring Expression Language) est un langage d’expression utilisé dans le framework Spring. 

CVE-2022-22965[Score CVSS v3.1: 9.8]
Cette vulnérabilité est associée à la faille déjà identifiée : Spring4Shell.
Un contrôle insuffisant des données entrées dans l’interface Web permet à un attaquant d’injecter des commandes malveillantes afin d’exécuter du code arbitraire sur le système.

CVE-2022-22963[Score CVSS v3.1: 9.8]
Un contrôle insuffisant des données entrées dans la configuration de routage permet à un attaquant d’utiliser des requêtes SpEL malveillantes afin de s’octroyer un accès aux données ou d’exécuter du code arbitraire sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire (à distance)
  • Atteinte à la confidentialité des données
  • Injection de commandes

Criticité

  • Score CVSS v3.1: 9.8 max

La faille est activement exploitée

  • Oui, un exploit (POC) existe pour la CVE-2022-22965 et la CVE-2022-22963 a été ajoutée dans le catalogue des vulnérabilités exploitées du CISA

Un correctif existe

  • Oui, pour les 2 CVE présentées.

Une mesure de contournement existe

  • Non, mais une solution d’atténuation existe pour la CVE-2022-22965

Les vulnérabilités exploitées sont du type    

Pour la CVE-2022-22965

Pour la CVE-2022-22963

Détails sur l’exploitation

Pour la CVE-2022-22965CVE-2022-22963

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour la CVE-2022-22965

Spring Framework

  • Les versions 5.3.0 à 5.3.17.
  • Les versions 5.2.0 à 5.2.19.
  • Les versions plus anciennes.

Des prérequis pour l'exploit sont nécessaires, les voici :

  • JDK version 9 ou les versions ultérieures
  • Apache Tomcat (Servlet container)
  • Archivé en WAR
  • Dépendance spring-webmvs ou spring-webflux

 

Pour la CVE-2022-22963

Spring Cloud Function

  • La version 3.1.6.
  • La version 3.2.2.
  • Les versions plus anciennes.

 

Solutions ou recommandations

Pour la CVE-2022-22965

  • Pour Spring framework version 5.3.0 à 5.3.17, appliquer la mise à jour vers la version 5.3.18 ou toutes autres versions ultérieures.
     
  • Pour Spring framework version 5.2.0 à 5.2.19, appliquer la mise à jour vers la version 5.2.20 ou toutes autres versions ultérieures.
     
  • Une solution d’atténuation proposée par SecurityBoulevard existe est disponible ici. D’autres solutions d’atténuation et des outils de détections sont disponibles ici.

Pour la CVE-2022-22963

  • Appliquer la mise à jour de Spring Cloud Function vers les versions 3.1.7 et 3.2.3.

Liens