Uma vulnerabilidade crítica de segurança foi descoberta em Java. Há um problema sério com ela

Por Admin em

Este não é um bom dia para os profissionais de segurança corporativa. Uma vulnerabilidade séria no Java Spring Framework acaba de ser descoberta, o que pode levar à execução de praticamente tudo na máquina infectada.

Spring é uma plataforma de desenvolvimento de aplicativos e um container de reversão de controle para aplicativos Java – as funções principais do framework podem ser usadas por qualquer aplicativo Java, mas também existem extensões para o desenvolvimento de aplicativos web no Java EE (Enterprise Edition) plataforma. Infelizmente, foi detectada uma grave falha de segurança na plataforma que possibilita a execução remota de qualquer código malicioso.

Spring4Shell – Uma séria vulnerabilidade de segurança foi descoberta no Java Spring Framework

A empresa VMWare (responsável pelo framework Spring) deveria ter sido informada sobre o caso na noite de terça-feira, mas o processo de correção e identificação oficial da vulnerabilidade com o número CVE não foi concluído – você poderia dizer, portanto, que estávamos lidando com isso a chamada vulnerabilidade de 0 dias (a que funcionava chamava-se Spring4Shell). O assunto é tão sério que a estrutura é usada por muitas plataformas de software empresarial baseadas em Java.

A vulnerabilidade foi revelada publicamente depois que um pesquisador de segurança chinês lançou uma exploração de prova de conceito (PoC). No entanto, o caso era tão misterioso que ele excluiu sua conta do Twitter imediatamente após a vulnerabilidade ser revelada.

Will Dormann, pesquisador de segurança do CERT/CC, logo confirmou que o código de exploração preparado realmente funcionava. No entanto, existem inconsistências quanto às condições de infecção da máquina.

Spring.io aborda a vulnerabilidade Spring4Shell

Spring.io (de propriedade da VMWare) confirmou recentemente oficialmente uma vulnerabilidade na plataforma (aqui você pode encontrar todos os detalhes). Sabe-se que esta é a plataforma Java Development Kit (JDK) versão 9 ou posterior e os requisitos específicos para a aplicação elaborada (pelo menos em teoria, pois podem existir outras formas de utilização que ainda não foram publicadas).

Leitura interessante:  Este robô tem 30 cm, salta 30 m

A vulnerabilidade recebeu o número CVE-2022-22965 como uma vulnerabilidade crítica. Ao mesmo tempo, os desenvolvedores lançaram novas versões do Sprimg Framework 5.3.18 / 5.2.20 e Spring Boot 2.5.12 / 2.6.6, que devem introduzir correções de segurança apropriadas.

Fonte: Assuntos de Segurança, Sekurak, Primavera

Categorias: Blog