שוב: פגיעות קריטית, המסכנת מיליוני מפתחי ג'אווה

הפגיעות - Spring4Shell - פוגעת בספריית Spring הפופולרית, המשמשת בכשלוש מתוך כל ארבע אפליקציות המפותחות בג'אווה

שוב פגיעות בספריית Java פופולרית.

כמה חודשים לאחר שנחשפה הפגיעות בספריית ג'אווה Log4J – אשר זכתה לכינוי Log4Shell – נחשפה פגיעות חדשה, באותה רמה של פוטנציאל פגיעה, בשם Spring4Shell. זו פוגעת בספריית Spring הפופולרית, הנוספת לקוד ג'אווה ומקלה על מפתחי הג'אווה.

הפגיעות נחשפה בעקבות הדלפה של חוקרי חברת אבטחת מידע סינית, שחשפו בשבוע שעבר כי מתקפה מסוג זה עלולה להשפיע על רוב יישומי הג'אווה הארגוניים ברחבי העולם.

מדובר בספרייה פופולרית מאוד של פיתוח בג'אווה. היא משמשת מיליוני מפתחים בג'אווה, המשתמשים ב-Spring Framework כדי שיוכלו ליצור קוד איכותי וניתן לבדיקה בקלות. כך, כשלוש מתוך כל ארבע (74%) אפליקציות המפותחות בג'אווה עושות זאת עם ספריית Spring. אמנם יש כמה גירסאות שמחוסנות, אך רוב המשתמשים עדיין אינם מודעים לפגיעות ולא הטליאו אותה.

חוקרי אבטחה בעולם כתבו בסוף השבוע, כי מדובר בפגיעות שנייה בחומרתה, אשר התגלתה בחודשים האחרונים, אשר רק הפגיעות המאפשרת מתקפה מרחוק על Log4Shell בספריית Log4j Java הסבה נזק רב יותר.

פגיעות זו הייתה קיימת בעבר, אך פיתחו לה טלאי. כעת, בגירסה החדשה של ספריית Spring – נמצאה פרצה, המאפשרת את הפגיעות הזו. הפגיעות מאפשרת להאקרים להריץ נוזקה במתכונת RCE של הפעלה מרחוק על שרתים של ארגונים ולהסב נזק ושיבוש מערכות.

במדרג החומרה של הפגיעויות – מערכת CVSS, הפגיעות החדשה שנחשפה בשבוע שעבר זכתה לציון 9.0, משמע נזקה הפוטנציאלי היא כמעט מירבי.

הפגיעות – CVE-2022-22963 – מסבה נזק לגירסאות 3.1.6, 3.2.2 וגירסאות ישנות יותר, שאינן נתמכות ב-Spring Cloud Function.

לדברי מייק פרקין, מהנדס טכני בכיר בוולקן סייבר (Vulcan Cyber), אין עדיין די מידע מפורט כדי לקבוע עד כמה פגיעות זו תהיה מסוכנת ומה תהיה מידת התפוצה שלה. לדבריו, "למרבה המזל, ארגונים יכולים להגביל את השימוש בגירסאות המסוכנות, הן ברמת הקוד והן ברמת ה-WAF".

לדברי טל מלמד, חוקר סייבר ב-קונטרסט סקיוריטי, "אין עדיין פתרון קסם לבעיה. יש פתרונות ברמת קוד שמצמצמות את היכולת של הפגיעה, כמו, למשל, הקוד שאנו מציעים. אנו ממליצים לשדרג את Spring Framework לגרסאות 5.3.18 או 5.2.20 – אשר מצמצמות את פוטנציאל הנזק. אם ארגון אינו יכול לערוך את השדרוג האמור, יש להגביל את השימוש בליבת Spring ולהגדיר את השדות המותרים לשימוש".

טל מלמד, חוקר סייבר בקונטרסט סקיוריטי.

טל מלמד, חוקר סייבר בקונטרסט סקיוריטי. צילום: רמי זרנגר

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים