Resumen Ejecutivo
Spring (un marco de aplicación y un contenedor de inversión de control para la plataforma Java) lanzó nuevas actualizaciones de emergencia para corregir una vulnerabilidad de ejecución remota de código de día cero, la que fue apodada como «Spring4Shell«, la cual se filtró prematuramente en Internet antes de que se lanzara el parche.
El día de ayer, un exploit para dicha vulnerabilidad se publicó brevemente en la plataforma de GitHub, luego de unos momentos, el repositorio donde estaba dicho exploit fue eliminado. Sin embargo, el código fue rápidamente compartido en otros repositorios y probado por investigadores de ciberseguridad, quienes confirmaron que era un exploit legítimo, agravando más el asunto.
Actualmente se tiene confirmado que diferentes actores de amenazas ya están realizando labores de explotación de dichas vulnerabilidades de día cero.
El día de hoy, Spring ha publicado un aviso de seguridad que explica que la vulnerabilidad ahora será identificada como CVE-2022-22965 y afecta a las aplicaciones Spring MVC y Spring WebFlux en JDK 9.
Varias empresas que usan Spring para desarrollar algunos de sus productos han identificado aquellos
que estarían afectados por la vulnerabilidad, y entregado parches para corregirla. Algunos de las
principales son VMware, Cisco, Red Hat, SolarWinds y SAP, cuyos detalles y enlaces respectivos se
detallan en el presente documento.
Productos afectados
VMware:
VMware Tanzu Application Service for VMs
VMware Tanzu Operations Manager
VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)
Cisco:
Cisco Crosswork Optimization Engine
Cisco Crosswork Zero Touch Provisioning (ZTP)
Cisco Edge Intelligence
RedHat:
Red Hat Descision Manager 7
Red Hat JBoss A-MQ 6
Red Hat JBoss Fuse 6
Red Hat JBoss Fuse 7
Red Hat Process Automation 7
Red Hat JBoss A-MQ 7
Red Hat Virtualization 4
SolarWinds (No confirmados ni descardados como vulnerables):
Security Event Manager (SEM)
Database Performance Analyzer (DPA)
Web Help Desk (WHD)
SAP:
SAP NetWeaver Application Server for Java todas las versiones.
Recomendaciones
Aplicar las actualizaciones correspondientes a la brevedad posible.
Solución
- Spring Framework 5.3.18 (YA DISPONIBLE).
- Spring Framework 5.2.20 (YA DISPONIBLE).
- Spring Boot 2.6.6 (YA DISPONIBLE).
Información Relacionada
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://venturebeat.com/2022/03/30/spring4shell-vulnerability-likely-to-affect-real-world-apps-analyst-says/
- https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
- https://www.vmware.com/security/advisories/VMSA-2022-0010.html
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-java-spring-rce-Zx9GUc67
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-java-spring-scf-rce-DQrHhJxH
- https://access.redhat.com/security/cve/CVE-2022-22965
- https://access.redhat.com/security/vulnerabilities/RHSB-2022-003
- https://www.solarwinds.com/fr/trust-center/security-advisories/spring4shell
- https://userapps.support.sap.com/sap/support/knowledge/en/3171058
- https://www.csirt.gob.cl/media/2022/04/10CND22-00063-01-Proveedores-Afectados-Spring4Shell.pdf
Otras vulnerabilidad a considerar
CVE-2021-44228 & CVE-2021-45046
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
