Vorige week informeerden we u over de kwetsbaarheid ontdekt in Spring Core Framework (ook bekend als Spring4shell). Hiervoor informeren we u over de laatste update betreffende deze kwetsbaarheid.
Er is een ernstige kwetsbaarheid ontdekt in Spring Core Framework. Het betreft een zogenoemde ‘zero-day’ wat betekent dat er nog geen beveiligingsupdate beschikbaar is om misbruik te voorkomen. Deze kwetsbaarheid is bekend onder de naam “Spring4Shell”.
De afgelopen dagen wordt er door verschillende security onderzoekers gesproken over een zero-day kwetsbaarheid in Spring Core Framework. Gaandeweg wordt er meer informatie bekend over deze kwetsbaarheid. Inmiddels heeft het Nationaal Cyber Security Centrum (NCSC) een beveiligingsadvies uitgegeven met High/High classificering; er is een grote kans op misbruik en de schade kan groot zijn.
Wat is het probleem?
Spring Core Framework is een verzameling van Java-bibliotheken die kunnen worden gebruikt in softwareprogramma’s die in de computertaal Java zijn geschreven. Dit kunnen programma’s zijn die alleen op jouw computer zijn geïnstalleerd maar ook als webapplicatie werken voor meerdere interne of externe gebruikers. De kwetsbaarheid maakt het mogelijk dat een kwaadwillende in bepaalde omstandigheden willekeurige code kan uitvoeren en zo toegang kan krijgen tot het programma/applicatie en de informatie in dat programma/applicatie.
Hoe groot is het risico op misbruik?
Deze kwetsbaarheid is een zero-day-kwetsbaarheid. Voor deze kwetsbaarheid betekent het dat er nog geen beveiligingsupdate beschikbaar is die deze kwetsbaarheid kan verhelpen. Daarbij melden verschillende bronnen, waaronder het NCSC, dat er zogenaamde Proof-of-Concept-code beschikbaar is. Dit betekent dat is aangetoond dat je technisch gezien de kwetsbaarheid kunt uitbuiten. Er is op dit moment nog geen daadwerkelijk misbruik vastgesteld, maar dit wordt wel verwacht.
Status
Spring Framework 5.3.18 en 5.2.20 zijn de versies waarin de kwetsbaarheid verholpen is. Leveranciers die gebruik maken van het framework in haar producten zullen in de komende tijd kenbaar maken dat een product kwetsbaar is en hier een update voor uit brengen.
Op dit moment is er verder geen nieuwe informatie beschikbaar. Mocht er nog nieuwe informatie beschikbaar komen dan zullen we u uiteraard over informeren.
Wat heeft PQR gedaan?
PQR heeft afgelopen week al haar systemen en diensten extra gecontroleerd op de kwetsbaarheid. Tevens heeft PQR er voor gezorgd dat detectie is ingesteld met behulp van Rapid7 IDR (Incident Detectie en response) / IVM (Vulnerability Management). En preventie door extra gebruik van IPS en WAF regels toe te passen tegen deze kwetsbaarheid. PQR monitort continue al haar systemen en diensten op afwijkend gedrag en configuratie.
Te nemen acties
PQR heeft er voor gezorgd dat detectie met behulp van Rapid7 IDR (Incident Detectie en response) / IVM (Vulnerability Management) is ingesteld. En preventie door extra gebruik van IPS en WAF regels toe te passen tegen deze kwetsbaarheid.
Verschillende bronnen melden mogelijke beperkende maatregelen om misbruik van deze kwetsbaarheid te voorkomen (zie link 1, 2). Zoals bijvoorbeeld het gebruiken van IPS functionaliteit op een firewall om aanvallen te detecteren en blokkeren.
Workarounds
De voorkeur is om te updaten naar Spring Framework 5.3.18 en 5.2.20 of hoger. Als u dit hebt gedaan, zijn er geen tijdelijke oplossingen nodig. Sommigen bevinden zich echter in een positie waarin upgraden niet snel mogelijk is. Om die reden hebben we hieronder enkele tijdelijke oplossingen gegeven.
- Tomcat upgraden
- Downgraden naar Java 8
Houd er rekening mee dat tijdelijke oplossingen elkaar niet noodzakelijk uitsluiten, omdat beveiliging het beste “in de diepte” kan worden gedaan.
Impact
De kwetsbaarheid heeft impact op de volgende onderdelen:
- Draait Java Development Kit 9 of hoger
- Apache Tomcat Servlet containers worden gebruikt.
- Spring-webmvc or spring-webflux afhankelijkheid
- Spring Framework versie 5.3.0 tot 5.3.17, 5.2.0 tot 5.2.19, en ouder versies zijn kwetsbaar.
Hulp nodig?
PQR heeft voorbereidingen genomen om snel en accuraat te kunnen reageren op een mogelijk security incident. Wilt u hier hulp bij? Neem dan contact op met de PQR servicedesk.
Waar is meer informatie te vinden:
- https://www.contrastsecurity.com/security-influencers/new-spring4shell-vulnerability-confirmed-what-it-is-and-how-to-be-prepared
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
- https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0221
Bron: https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0221