Getty Resimleri
Güvenlik dünyası bir başka Log4Shell raporlarına tepki gösterdiğinden, bu hafta yutturmaca ve abartı tam olarak teşhir edildi. Güvenlik açığı Aralık ayında ortaya çıktı ve muhtemelen en ciddi internet tehditleri seneler içinde. Yaygın olarak kullanılan Spring Java çerçevesindeki yeni kod yürütme hatası olan vaftiz edilmiş Spring4Shell, araştırmacılar ciddiyetini değerlendirmek için çabalarken güvenlik dünyasını hızla ateşe verdi.
Biri ilk gönderiler Kusur hakkında rapor vermek için teknoloji haber sitesi Cyber Kendra, kusurun “tonlarca uygulamaya” yol açabileceği ve “İnternet’i mahvedebileceği” ciddi hasar mevzusunda uyarıda bulunmuş oldu. Neredeyse anında, birçoğu yılan yağı kullanan güvenlik şirketleri, hepimizin karşı karşıya kalacağı yakın tehlikeye karşı uyarmak için üstlerine düştüler. Ve hepsi, bir güvenlik açığı seyretme ataması yada Spring’in bakımcılarından gelen tavsiyelerden ilkin bile mevcuttu.
hepsi gemide
Coşku treni Çarşamba günü, bir araştırmacının savunmasız bir sisteme web kabuğu olarak malum web tabanlı bir uzaktan kumanda arka kapısını uzaktan yükleyebilecek bir kavram kanıtı açıklaması yayınladıktan sonrasında başladı. Güvenlik açığından yararlanmanın oldukça kolay olması ve oldukça sayıda internet sayfasına ve uygulamaya güç elde eden bir çerçevede olması sebebiyle insanoğlu anlaşılır bir halde endişeliydi.
Güvenlik açığı iki Spring ürününde bulunuyor: Geliştiricilerin uygulamaları yazmasına ve kontrol etmesine olanak tanıyan Spring MVC ve Spring WebFlux. Kusur, JDK9’da tanıtılan ve CVE-2010-1622 olarak izlenen on senelik bir güvenlik açığını tekrardan canlandıran değişikliklerden meydana gelmektedir. Spring çerçevesini ve JDK9 yada sonrasını birleştiren sistemlerin bolluğu göz önüne alındığında, bilhassa açıklardan yararlanma kodu aslına bakarsanız yırtıcı olduğundan (ilk sızıntı PoC’yi hızla indirdi, sadece o zamana kadar oldukça geçti.)
Perşembe günü, kusur sonunda CVE-2022-22965 adını aldı. Güvenlik savunucuları ek olarak, oluşturduğu tehdidin oldukça daha detaylı bir tanımını aldı. Sızdırılan kod, Bahar koruyucuları söylediyalnızca Spring tarafınca geliştirilen bir uygulama Apache Tomcat’in üstünde çalıştığında ve peşinden yalnızca uygulama bir dosya türü olarak dağıtıldığında çalıştı. SAVAŞweb arşivinin kısaltması.
Spring yöneticileri, “Uygulama bir Spring Boot yürütülebilir jar olarak, şu demek oluyor ki varsayılan olarak konuşlandırılırsa, istismara karşı savunmasız değildir” diye yazdı. “Sadece, güvenlik açığının doğası daha geneldir ve bundan yararlanmanın başka yolları da olabilir.”
Gönderi, PoC istismarının öteki konfigürasyonlara karşı çalışacak şekilde geliştirilebileceği olasılığını açık bıraksa da, en azından şimdilik, asla kimse bunu meydana getiren bir varyasyon ortaya çıkarmadı.
CERT’de güvenlik açığı analisti Will Dormann hususi bir mesajda, “Etkilenen bir sürüm kullanıyorlarsa geliştiricilerin düzeltmesi ihtiyaç duyulan bir şey” dedi. “Fakat hala, sömürülebilir tek bir uygulamayı bilememenin eşiğindeyiz.”
Dormann, Twitter’da Cyber Kendra’yı görevlendirdi.
“Siber Kendra’nın bunu hepimiz için daha da kötüleştirdiği yollar” yazdı. “1) Bunun interneti mahvedeceğini belirten sansasyonel blog yazısı (kırmızı bayrak!) 2) Orijinal tarafın gösterdiği sorunla kesinlikle hiçbir ilgisi olmayan, seri durumdan çıkarma hakkında bir git taahhüdüne bağlantı vermek.”
Cyber Kendra’nın bunu hepimiz için daha da kötüleştirdiği yollar:
1) Bunun interneti mahvedeceğini belirten sansasyonel blog yazısı (kırmızı bayrak!).
2) Orijinal taraf tarafınca gösterilen sorunla kesinlikle hiçbir ilgisi olmayan, seri durumdan çıkarma hakkında bir git taahhüdüne bağlanma. pic.twitter.com/91MAfL7K4r— Will Dormann (@wdormann) 31 Mart 2022
Bir Cyber Kendra temsilcisi, yorum isteyen bir e-postaya cevap vermedi. Adil olmak gerekirse, interneti mahvetme çizgisi ondan sonra vuruldu.
yayKabuğu, olumsuzluk Spring4Shell
Ne yazık ki, güvenlik açığının en azından şimdilik Log4Shell tehdidine yakın bir şey teşkil etmediği mevzusunda düşünce birliği olmasına karşın, Spring4Shell adı büyük seviyede sıkışmış durumda. Bu muhtemelen ciddiyeti hakkında bazılarını yanıltacaktır. İleriye dönük olarak, Ars buna daha uygun adı olan SpringShell ile atıfta bulunacaktır.
Birkaç araştırmacı, yırtıcı doğada sızdırılmış CVE-2022-22965 PoC’yi yada buna oldukça benzeyen bir istismarı kullanan taramalar tespit ettiklerini söylüyor. Araştırmacıların, yeni bir güvenlik açığının ne kadar yaygın bulunduğunu idrak etmek için sunucuları iyi niyetli bir halde kontrol etmesi alışılmadık bir durum değil. Birazcık daha ilgili bir Cuma günü rapor Netlab 360’tan araştırmacıların Mirai’nin bir çeşidinin—binlerce IoT cihazını boğabilen ve sakat bırakan hizmet reddi saldırıları üretebilen fena amaçlı yazılımın—”bu güvenlik açığını benimseyen ilk botnet olarak yarışı kazandığını” söyledikleri.
Sorunları daha da kafa karıştırıcı hale getirmek için, geçen hafta Spring Cloud Function’ı etkileyen ve geliştiricilerin bir uygulamadaki iş mantığını belirli bir emek verme zamanından kolayca ayırmasına olanak tanıyan ayrı bir kod yürütme güvenlik açığı ortaya çıktı. CVE-2022-22963 olarak izlenen kusur, tipik olarak SpEL olarak malum Spring Expression Language’de bulunuyor.
Her iki güvenlik açığı da potansiyel olarak ciddidir ve hiçbir şekilde göz ardı edilmemelidir. Bu, Spring Framework’ü 5.3.18 yada 5.2.20’ye güncellemek ve oldukça dikkatli bir halde Tomcat 10.0.20, 9.0.62 yada 8.5.78’e yükseltmek anlamına gelir. Spring Cloud Function’ı kullananlar ikisinden birine güncelleme yapmalıdır. 3.1.7 veya 3.2.3.
Güvenlik şirketi Randori’deki araştırmacılar, uygulamalarının CVE-2022-22965’e karşı savunmasız olup olmadığından güvenli olmayanlar için rahat bir izahat yayınladı: kötü amaçlı olmayan komut dosyası bu yalnız bunu yapabilir.
Bu yüzden, normal olarak yarın yokmuş şeklinde kontrol edin ve yama yapın, sadece yutturmacaya inanmayın.
Yoruma kapalı.