Introducción
Se han anunciado nuevas vulnerabilidades de Ejecución Remota de Código (RCE) en Spring Framework, que es un marco de aplicación ligero de código abierto que proporciona un modelo de programación y configuración completo para aplicaciones empresariales modernas basadas en Java[1]. Spring es comúnmente conocido como uno de los frameworks Java más populares, donde el lenguaje de programación Java es ampliamente utilizado para el desarrollo de sistemas web.
El 29 de marzo de 2022 se rastreó por primera vez la vulnerabilidad Spring Cloud Expression Resource Access (CVE-2022-22963), que permitía la inyección de SpEL especialmente diseñado como expresión de enrutamiento que podía dar lugar a la ejecución remota de código y al acceso a recursos locales. Dos días después, la vulnerabilidad llamada Spring Framework RCE via Data Binding on JDK 9+ (CVE-2022-22965), también conocida como SpringShell (y/o Spring4Shell), cuya gravedad es crítica, es parcheada por Spring Framework. Si se explota, una aplicación Spring MVC o Spring WebFlux que se ejecute en JDK 9+ puede ser aprovechada por atacantes a través de esta vulnerabilidad para realizar una ejecución remota de código (RCE).
Versión afectada
- Para la rama de Spring Framework 5.3, versiones anteriores a la 5.3.18
- Para la rama de Spring Framework 5.2, versiones anteriores a la 5.2.20
Sugerencias de defensa y corrección
Se sugiere que los usuarios afectados de la versión 5.2.x actualicen a la versión 5.2.20+ y los usuarios afectados de la versión 5.3.x actualicen a la versión 5.3.18 para su mitigación.
Hillstone Networks también publicó la base de datos de firmas IPS 2.1.451 para los productos NGFW, la base de datos de firmas IPS 3.0.102 para los productos NIPS y sBDS, y la base de datos de firmas WAF versión 1.1.138 para los productos WAF y sBDS.
Figura 1. Captura de pantalla de la firma IPS para la vulnerabilidad Spring4Shell
Se recomienda a los clientes de Hillstone Networks que actualicen la base de datos de firmas para recibir protección.