Il team di sviluppatori e di ingegneri di 4Securitas ha portato avanti un’accurata indagine sulle vulnerabilità CVE-2022-22965 (indicata anche da altri fornitori come Spring4Shell / SpringShell) e CVE-2022-22963 e sui potenziali exploit.

Dopo aver monitorato la nostra infrastruttura e i nostri prodotti, possiamo affermare che ACSIA e tutti i prodotti 4Securitas non sono affetti da tali vulnerabilità. 

Continueremo tuttavia a sorvegliare i nostri prodotti e a verificare l'esposizione a possibili attacchi, non appena saranno disponibili ulteriori informazioni. 

Che cos'è Spring4Shell?

Spring4Shell è una vulnerabilità critica in Spring Core, un popolare framework applicativo open source per la piattaforma Java che consente agli sviluppatori di scrivere e testare rapidamente e facilmente il codice e sviluppare applicazioni con funzionalità di livello aziendale.
Poiché è ampiamente utilizzato dalla maggior parte degli sviluppatori per le loro applicazioni Java principali, molti applicativi sono potenzialmente interessati da questa vulnerabilità.
Il bug consente a un aggressore non autenticato di eseguire codice dannoso da remoto su un sistema vulnerabile. L'aggressore può accedere a tutti i dati interni del sito web e al database collegato, può anche ottenere l'accesso a risorse interne aggiuntive e ottenere ulteriori permessi.

CVE-2022-22965: Impatto, pericoli e mitigazione

CVE-2022-22965 è una vulnerabilità RCE confermata nelle versioni di Spring Core dalla 5.3.0 alla 5.3.17, dalla 5.2.0 alla 5.2.19 e nelle versioni precedenti. Questa vulnerabilità, attualmente discussa pubblicamente come Spring4Shell o SpringShell, sembra essere un aggiramento delle protezioni predisposte per CVE-2010-1622. 

Colpisce le applicazioni e i prodotti Spring MVC o Spring WebFlux in esecuzione su Tomcat come WAR (Web Application Archive) e che utilizzano JDK 9+. Gli applicativi in formato .jar non sembrano essere interessati dal problema in questo momento.

CVE-2022-22963: Impatto, pericoli e mitigazione

CVE-2022-22963 è una seconda vulnerabilità RCE confermata in Spring. Nelle versioni di Spring Cloud Function 3.1.6, 3.2.2 e nelle versioni precedenti non supportate, quando si utilizza la funzionalità di routing è possibile che un utente fornisca una direttiva SpEL appositamente creata come espressione di routing, che può portare all'esecuzione di codice remoto e all'accesso a risorse locali.

Questa vulnerabilità è relativamente più facile da sfruttare (a patto di alcune variabili) tramite strumenti comuni come curl e Burp. Gli utenti delle versioni interessate devono eseguire l'aggiornamento a 3.1.7 e 3.2.3. Non sono necessari altri passaggi.

Prodotti interessati

4Securitas utilizza JDK 1.8 e i file non vengono deployati in formato WAR, quindi possiamo dire che i nostri prodotti non sono vulnerabili all'exploit e non sono interessati da CVE-2022-22965.

Inoltre, nessun prodotto 4Securitas è attualmente interessato dall'istanza CVE-2022-22963, poiché non utilizziamo spring-cloud-function.

Prossimi passi

Pur avendo valutato la sicurezza del nostro prodotto, continueremo a monitorare e a raccogliere informazioni sulle nuove vulnerabilità e a fornire aggiornamenti in merito.