VMware публикува актуализации за сигурност за критичната уязвимост при отдалечено изпълнение на код, известна като Spring4Shell, която засяга няколко от неговите продукти в облак и виртуализация.
Списък на продуктите на VMware, засегнати от Spring4Shell, е наличен в справка от компанията. Когато корекцията не е налична, VMware публикува заобиколно решение като временно решение.
По това време е изключително важно да следвате съветите, предоставени в бюлетина за сигурност, тъй като Spring4Shell е активно използвана уязвимост.
Spring4Shell, официално проследяван като CVE-2022-22965, е уязвимост при отдалечено изпълнение на код в рамката на Spring Core Java, която може да се използва без удостоверяване, с оценка на сериозност 9,8 от 10.
Това означава, че всеки злонамерен участник с достъп до уязвими приложения може да изпълнява произволни команди и да поеме пълен контрол над целевата система.
Поради широкото внедряване на Spring Framework за разработка на приложения Java, анализаторите по сигурността се страхуват от широкомащабни атаки, които се възползват от уязвимостта на Spring4Shell.
За да влоши нещата, работещ експлойт за доказателство на концепцията (PoC) беше изтекъл в GitHub дори преди да е налична актуализация на защитата, повишавайки шансовете за злонамерена атаки.
Въздействие и саниране
Критичният недостатък засяга Spring MVC и Spring WebFlux приложения, работещи на JDK 9+. Експлойтът изисква приложението да работи на Tomcat като WAR внедряване, въпреки че точните ограничения все още се разследват.
Фиксираните версии на приложенията са:
Spring Framework 5.3.18 и Spring Framework 5.2.20
Spring Boot 2.5.12
Spring Boot 2.6.6 (скоро ще бъде пуснат)
VMWare прегледа своето продуктово портфолио и докато разследването все още продължава, продуктите по-долу вече са определени като засегнати:
- VMware Tanzu Application Service for VMs – versions 2.10 to 2.13
- VMware Tanzu Operations Manager – versions 2.8 to 2.9
- VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) – versions 1.11 to 1.13
Продавачът вече е предоставил актуализации на сигурността за първите два продукта, обхващащи множество клонове на версии с точкови издания, но постоянната корекция за VMware Tanzu Kubernetes Grid Integrated Edition все още е в процес на работа.
За тези внедрявания VMWare публикува инструкции за заобикаляне, предназначени да помогнат на администраторите временно да защитят своите системи, докато пачовете не бъдат пуснати.
Едно нещо, което трябва да се отбележи, е, че VMWare установи, че експлоатацията на Spring4Shell е сложна в TKGI, така че съветите за смекчаване и предстоящата актуализация на сигурността са предоставени за максимално доверие на клиентите и за избягване на фалшиви положителни резултати.
За повече информация: https://www.bleepingcomputer.com/news/security/vmware-patches-spring4shell-rce-flaw-in-multiple-products/