مایکروسافت، با باگSpring4Shell در Spring Frameworkجاوا محک خورد

مایکروسافت به مشتریان سرویس ابری Azure خود می گوید که باگ فاش شده را وصله کنند، یک آسیب پذیری اجرای کد از راه دور با رتبه بندی بحرانی (RCE) با برچسب CVE-2022-22965 برچسب گذاری شده است.

این باگ شامل تغییر در باگ وحشتناک Log 4 Shell که یکی دیگر از ابزارهای گزارش گیری برنامه مبتنی بر جاوا است را تحت تأثیر قرار می دهد.

در مورد مهم بودن این باگ بحثی جدی وجود داشت، و تحقیقاتی توسط محققان امنیتی در روزهای پس از کشف این باگ انجام شد. تحقیقات نشان داد که Spring 4 Shell واقعا یک باگ مهم است که باید به آن توجه کرد.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) در 1 آوریل از همه سازمان های ایالات متحده، از جمله آژانس های فدرال، خواست تا فورا آن را اصلاح کنند. در 4 آوریل، CISA  این باگ را به لیست آسیب پذیری های شناخته شده خود اضافه کرد و سازمان های فدرال باید آن را تا مهلت تعیین شده اصلاح کنند.

مایکروسافت اطمینان داد که Spring Framework “پرکاربردترین فریمورک متن باز lightweight برای جاوا است. ” همچنین مایکروسافت اعلام کرد اگر سیستم از نسخه های 5.3.0 تا 5.3.17، 5.2.0 تا 5.2.19 و نسخه های قبلی نیز استفاده می کند، باگ در کیت توسعه جاوا ( JDK) از نسخه 9.0 و بالاتر وجود دارد

در کیت توسعه جاوا (JDK) نسخه 9.0 یا بالاتر، یک مهاجم از راه دور می تواند یک شی AccessLogValve را از طریق ویژگی اتصال پارامتر فریمورک بدست آورد و تیم اطلاعاتی تهدیدات Defender مایکروسافت گزارش داد که مقادیر میدان مخرب را برای راه اندازی مکانیزم pipeline و نوشتن یک فایل در یک مسیر دلخواه، در صورت رعایت شرایط خاص را در نظر بگیرید.

سایر شرایط مورد نیاز برای بهره برداری شامل Apache Tomcat است که به عنوان کانتینر Servlet عمل می کند، این برنامه به عنوان یک(WAR) زیپ شده و در یک نمونه مستقل Tomcat قرار گرفته شده است. با این حال، Spring Boot  معمولا به عنوان یک کانتینر Servlet  یا وب سرور واکنشی قرار می گیرد که برروی آن تاثیر نمی گذارد.

مایکروسافت اعلام کرد: “هر سیستمی که از JDK 9.0 یا بالاتر واز فریمورک Spring یا فریمورک های آن استفاده می کند، باید آسیب پذیر به حساب بیاید.”

مایکروسافت اعلام کرد که تنها بهره برداری کار، اثبات مفهوم، تنها می تواند از راه دور بر روی سرور Tomcat از طریق ماژول گزارش آن با استفاده از دستورات خاص استفاده شود.یک attacker میتواند گزارش های دسترسی پیش فرض را به هر فایلی که می خواهد با درخواست هایی برای آن از طریق وب تغییر دهد. سپس می تواند محتویات یک وب سرور یا برنامه را تغییر دهد.

درست مانند Log4Shell، تاثیر Spring4Shell از طریق گنجاندن آن در محصولات دیگر احساس می شود. به عنوان مثال، شرکت هایپروایزر VMware هشدار داد که خدمات Tanzu خود را برای ماشین های مجازی و نرم افزار کانتینر تحت تاثیر قرار داده است.

مایکروسافت ارزیابی کرد: “بهره برداری فعلی از همان مکانیزم CVE-2010-1622 استفاده می کند و رفع باگ قبلی را دور می زند. جاوا 9 فناوری جدیدی به نام جاوا ماژول ها را اضافه کرد.