Canigó. Vulnerabilitat Spring4Shell

Spring Framework és un marc d’aplicació de codi obert per a la plataforma Java les característiques de la qual poden ser utilitzades per qualsevol aplicació. En aquest sentit, el passat 29 de març es va publicar una nova vulnerabilitat d’execució remota de codi que afecta a Spring Core, un framework que permet el desenvolupament d’aplicacions web amb Java i, l’explotació de les quals permetria a atacants executar remotament codi arbitrari en els sistemes de la víctima per mitjà d’una petició no autenticada d’HTTP.

Aquesta vulnerabilitat és coneguda sota el nom de Spring4Shell o SpringShell i afecta a spring-core que, segons els investigadors de Praetorian, es tracta d’un bypass per a una CVE més antiga CVE-2010-1622 que, a causa d’una característica de JDK9, pot haver estat restablerta.

Les vulnerabilitats detectades són les següents:

• Spring4Shell CVE-2022-22965: es tracta d’una vulnerabilitat crítica que permet l’execució remota de codi arbitrari en els sistemes de la víctima per mitjà d’una petició no autenticada d’HTTP.

• CVE-2022-22963: es tracta d’una vulnerabilitat de gravetat mitjana a Spring Cloud Function que pot ser explotada per accedir als recursos locals.

• CVE-2022-22950: es tracta d’una vulnerabilitat de DoS de gravetat mitjana que afecta a Spring Framework.

S’ha publicat la versió 5.3.18 d’org.springframework, la versió 2.5.12 d’org.springframework.boot i la versió 5.6.2 d’spring.security per a mitigar aquestes vulnerabilitats.

Per més informació podeu consultar Spring Framework RCE.

Des de l'Agència de Ciberseguretat de la Generalitat s'han considerat aquestes vulnerabilitats com a crítiques i d'un potencial gran impacte, recomanant als usuaris i administradors de sistemes que prenguin mesures de forma urgent.
Altra informació de referència:

• https://nvd.nist.gov/vuln/detail/CVE-2022-22965/ \
• https://nvd.nist.gov/vuln/detail/CVE-2022-22963/ \
• https://nvd.nist.gov/vuln/detail/CVE-2022-22950/ \
• https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html/ \
• https://tanzu.vmware.com/security/cve-2022-22965/ \
• https://www.tarlogic.com/es/blog/vulnerabilidad-spring4shell-cve-2022-22965-cve-2022-22963/ \
• https://github.com/NCSC-NL/spring4shell \
• https://www.dynatrace.com/news/blog/what-is-spring4shell-vulnerabilities-in-the-java-spring-framework/?utm_source=google&utm_medium=cpc&utm_term=spring4shell&utm_campaign=es-appsec-application-security&utm_content=none&gclid=EAIaIQobChMIjafOoJL69gIVU4XVCh2iRgRXEAAYASAAEgJUe_D_BwE&gclsrc=aw.ds \
• https://www.kaspersky.com/blog/spring4shell-critical-vulnerability-in-spring-java-framework/44034/ \
• https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement \

Com solucionar la vulnerabilitat a les aplicacions Canigó 3.6

El Framework Canigó 3.6 es troba afectat de forma transversal, per la qual cosa s’han alliberat noves versions:

• Versió 3.6.4 de Canigó per a resoldre aquesta vulnerabilitat als mòduls de Canigó. Podeu consultar: Publicació nova versió 3.6.4.

• Versió 1.7.4 de l’archetype de Canigó i la versió 1.8.4 del plugin del eclipse per a generar projectes amb Canigó 3.6.4. Podeu consultar: Actualització archetype 1.7.4 i plugin Eclipse 1.8.4.

Des de CS Canigó es recomana actualitzar a aquestes noves versions. Per a fer-ho, serà necessari revisar les dependències de l’aplicació per a utilitzar els mòduls de la versió 3.6.4. Podeu consultar la Matriu de Compatibilitats 3.6.

Per qualsevol dubte relatiu a aquesta nova versió del Framework Canigó us podeu posar en contacte amb el CS Canigó al servei CAN del JIRA CSTD o enviant-nos un correu electrònic a la bústia del CS Canigó.