4Securitas mimarları ve mühendislik ekipleri, CVE-2022-22965 (diğer vendorlar tarafından Spring4Shell / SpringShell olarak da adlandırılır) ve CVE-2022-22963 güvenlik açıklarını ve potansiyel açıkları aktif olarak araştırdı.
Altyapımızı ve ürünlerimizi izledikten sonra ACSIA ve tüm 4Securitas ürünlerinin bu tür güvenlik açıklarından etkilenmediğini söyleyebiliriz.
Daha fazla bilgi elde edildikçe, müşterilerimizi maruz kalma ve olası saldırılar için gözlemlemeye ve gözetlemeye devam edeceğiz.
Spring4Shell nedir?
Spring4Shell, yazılım geliştiricilerin kurumsal düzeyde özelliklere sahip uygulamaları korumak ve geliştirmek için hızlı ve kolay bir şekilde kod yazmasına ve test etmesine olanak tanıyan popüler bir Java tabanlı uygulama çerçevesi olan Spring Core'daki kritik bir güvenlik açığıdır. Çoğu geliştirici tarafından ana Java uygulamaları için yaygın olarak kullanıldığından, birçok uygulama potansiyel olarak etkilenir. Hata, kimliği doğrulanmamış bir saldırganın güvenlik açığı bulunan bir sistemde uzaktan rasgele kod yürütmesine olanak tanır. Saldırgan tüm web sitesi dahili verilerine ve bağlı veritabanına erişebilir, ayrıca ek dahili kaynaklara erişim ve daha fazla izin alabilir.
CVE-2022-22965: Etki, Tehlikeler ve Azaltma
CVE-2022-22965, Spring Core 5.3.0 - 5.3.17, 5.2.0 - 5.2.19 ve daha eski sürümlerde onaylanmış bir RCE güvenlik açığıdır. Şu anda Spring4Shell veya SpringShell olarak genel olarak tartışılan bu güvenlik açığı, CVE-2010-1622 için ayarlanmış korumaların bir atlanması gibi görünüyor.
Spring MVC veya Spring WebFlux uygulamalarını ve Tomcat üzerinde WAR dağıtımı (Web Uygulama Arşivi) olarak çalışan ve JDK 9+ kullanan ürünleri etkiler. .jar biçimindeki uygulamalar şu anda sorunlardan etkilenmiş görünmüyor.
CVE-2022-22963: Etki, Tehlikeler ve Azaltma
CVE-2022-22963, İlkbaharda onaylanan ikinci bir RCE güvenlik açığıdır. Ancak, bu, Spring Core yerine, varsayılan Spring Framework'te olmayan Spring Cloud Function'ı etkiler. Spring Cloud Function sürüm 3.1.6, 3.2.2 ve daha eski desteklenmeyen sürümlerde, yönlendirme işlevini kullanırken bir kullanıcının şunları yapması mümkündür: uzaktan kod yürütülmesine ve yerel kaynaklara erişime neden olabilecek bir yönlendirme ifadesi olarak özel olarak hazırlanmış bir SpEL sağlar.
Bu güvenlik açığından yararlanmak nispeten daha kolaydır (belirli değişkenlere tabidir) ve curl ve Burp gibi yaygın araçlar aracılığıyla yapılabilir. Etkilenen sürümlerin kullanıcıları 3.1.7, 3.2.3'e yükseltmelidir. Başka hiçbir adım gerekli değildir.
Etkilenen ürünler
4Securitas, JDK 1.8 kullanır ve WAR dosyası olarak dağıtılmaz, bu nedenle ürünlerimizin istismara karşı savunmasız olmadığını ve CVE-2022-22965'ten etkilenmediğini söyleyebiliriz.
Ayrıca, bahar bulutu işlevini kullanmadığımız için şu anda hiçbir 4Securitas ürünü CVE-2022-22963 bulut sunucusundan etkilenmemektedir.
Sonraki adımlar
Ürünümüzün güvenliğini değerlendirmiş olmamıza rağmen, yeni güvenlik açıkları hakkında bilgi toplamaya ve izlemeye devam edeceğiz ve konuyla ilgili güncellemeler sağlayacağız.