Resumen: 

Una vulnerabilidad de severidad crítica fue detectada en la función de nube de Spring, de modo que podría estar presente en millones de aplicaciones Java.

 

Spring es un framework de Java de código abierto que proporciona soporte de infraestructura para el desarrollo de aplicaciones, mientras que la función de nube de Spring (Spring Cloud Function) permite a los desarrolladores escribir funciones agnósticas en la nube utilizando características de Spring.

 

Rastreado como CVE-2022-22963, el fallo ha sido apodado como Spring4Shell y clasificado con una puntuación CVSS de 9.0.

 

Versiones afectadas:

Spring Cloud Function 3.1.6

Spring Cloud Function 3.2.2

 

La explotación exitosa de la vulnerabilidad, daría lugar a una ejecución remota de código y por ende al compromiso total de un host.  Además, dado que la función de nube de Spring se ejecuta en funciones sin servidor en la nube como AWS Lambda o Google Cloud Functions, el abuso de esta vulnerabilidad podría traer repercusiones graves para múltiples instancias.

 

De acuerdo con un informe publicado por los investigadores de Sysdig, los atacantes podrían explotar el fallo enviando una cadena maliciosa al servicio HTTP desde una app de Java, al igual que Log4Shell.

 

Más específico, un usuario podría inyectar un código específicamente diseñado en lenguaje de Spring Expression (SpEL), para acceder a los recursos locales y realizar una ejecución de comandos en el host vulnerado.

Ahora bien, los investigadores afirman que la vulnerabilidad es bastante fácil explotar mediante el manejo de un único comando cURL.

 

Comando cURL: 

curl -i -s -k -X $'POST' -H $'Host: 192.168.1.2:8080′ -H $'spring.cloud.function.enrutamiento-expresión:T(java.lang.Runtime).getRuntime().exec(\"touch /tmp/test")' -data-binary $'exploit_poc' $'http://192.168.1.2:8080/functionRouter'

<CURL>

 

Dicho esto, con el objetivo de mitigar la posible explotación de la vulnerabilidad, se le recomienda a todos los usuarios aplicar el parche correspondiente, actualizando sus dispositivos a las últimas versiones disponibles.

 

Recomendaciones:

Se le insta a todos los administradores a actualizar sus dispositivos a las versiones 3.1.7 y 3.2.3 para aplicar los parches correspondientes.

 

Referencias:

https://threatpost.com/critical-rce-bug-spring-log4shell/179173/

https://spring.io/blog/2022/03/29/cve-report-published-for-spring-cloud-function

 

 

Folio 183