Spring4Shell: שאלות ותשובות

טל מלמד, דירקטור בכיר למחקר בקונטרסט סקיוריטי, המספקת פתרונות לאבטחת יישומים בענן בתהליכי פיתוח, עונה על חלק מהשאלות הקשורות לחולשה האחרונה שנמצאה במסגרת Spring Core

Spring4Shell: שאלות ותשובות

טל מלמד. צילום: רמי זרנגר

רק לפני מספר חודשים היינו עדים לאחת מחולשות האבטחה הגדולות והמשמעותיות ביותר בשנים האחרונות. ושוב, ב-29 במארס 2022, התגלתה חולשה שעלולה להשפיע על רוב יישומי Java הארגוניים, בכל רחבי העולם. 

מחקר סביב הנושא הראה שהסיבה העיקרית הייתה פגיעות ב-Framework קוד-פתוח בעלת שימוש נרחב שנקראת Spring Core. גם הפעם, מדובר ב-ניצול של חולשה מסוג Software Dependency. החולשה אומנם התגלתה לאחרונה אבל מסתבר שהיא קיימת כבר משנת 2017.

מה זה Spring Core?
Spring Framework היא הבסיס לרוב היישומים הארגוניים שנכתבו בשפת התכנות Java. הנתונים האחרונים שלנו הראו ש-Spring Core נמצא בשימוש על ידי כמעט שלושה מכל ארבעה יישומי Java. באופן ספציפי, Spring מספקת את ה"צנרת" של יישומים ארגוניים כך שהמפתחים יכולים להתמקד בפיתוח הלוגיקה העסקית ברמת האפליקציה ולא בהקמת ופריסה לסביבות השונות.

האם ניתן לראות הדגמה של החולשה הזו?
פחות מיממה לאחר פרסום החולשה, צוות המחקר של Contrast Security הצליח להדגים אותה. לאור המחקר וההדגמה הזו נראה כי החולשה הזו, Spring4Shell, עשויה להיות המקור להרצת קוד מרוחק (RCE). 
לצפייה בהדגמת החולשה ראו כאן.

בנוסף, צוות ה- Cloud Native של Contrast Security אשר מכיל חוקרים ומפתחים בארץ ובאיטליה, הצליח להוכיח את הפגיעות הזו אף בסביבות ענן, כגון AWS.

האם כל ארגון שמשתמש ב- spring framework פגיע?
ישנן מספר "דרישות מקדימות" כדי שאפליקציה תהיה פגיעה: אתה משתמש באפליקציית Spring (עד וכולל גרסה 5.3.17). האפליקציה שלך פועלת על Java 9+. אינך משתמש בהמרת ההודעות הפופולרית יותר של JSON/XML של Spring. אינך משתמש ברשימת היתרים -OR- אין לך רשימת מניעה שחוסמת שדות כמו "class", "module", "classLoader". 

כיצד ניתן להתגונן מפני החולשה הזו?
שדרג את Spring Framework ל-5.3.18 או 5.2.20 אשר מפחית את הפגיעות.

אם אינך יכול לשדרג, עבור כל מי שמשתמש בליבת Spring ומחייב לסוגים לא בסיסיים כגון POJOs, הגדר את השדות המותרים כדי לציין את הקבצים היחידים שבהם אתה רוצה שהאפליקציה שלך תשתמש (מתוך הדוקומנטציה של Spring). 

עבור לקוחות  Contrast security, הפלטפורמה של קונטרסט סקיוריטי וספציפית מוצר Protect הוכח כיעיל בעצירת התקפות של החולשה המוכרת לנו כרגע. עם זאת, כמו בכל התקפה משמעותית, האקרים מקצועיים יפתחו גרסאות חדשות ושונות של ניצול החולשה ובהתאם גם אנחנו נמשיך לחזק את הבקרות וההגנות שלנו. 

למידע עדכני ושוטף מומלץ לעקוב אחר הבלוג הבא. כדי ללמוד עוד על קונטרסט סקיוריטי לחצו כאן

אולי יעניין אותך גם

בתמונה: מנכ״ל משרד ההגנה הקפריסאי, אנדראס לוקה וראש אגף היצוא הביטחוני, יאיר קולס | קרדיט צילום: משרד ההגנה הקפריסאי 
 

עסקת ענק למרעום דולפין ושורש בקפריסין

משרד הביטחון יספק למשרד ההגנה הקפריסאי מערכות ציוד מיגון אישי ונשיאה שפותחו על ידי חברת ׳שורש׳ ומערכת נשיאה עבור חיילי צבא קפריסין, שפותחה על ידי חברת ׳מרעום דולפין׳'