{"id":270987,"date":"2022-04-02T09:20:35","date_gmt":"2022-04-02T08:20:35","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=270987"},"modified":"2024-05-29T09:00:03","modified_gmt":"2024-05-29T08:00:03","slug":"alerte-securite-spring4shell-la-reponse-des-produits-stormshield","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/alerte-securite-spring4shell-la-reponse-des-produits-stormshield\/","title":{"rendered":"Alerte s\u00e9curit\u00e9 Spring4Shell : la r\u00e9ponse des produits Stormshield"},"content":{"rendered":"

Ce mois d'avril commence fort avec la d\u00e9couverte d\u2019une nouvelle vuln\u00e9rabilit\u00e9 au score de 9.8 de type RCE (Remote Code Execution) sans aucune authentification pr\u00e9alable dans le framework opensource Java Spring.<\/strong><\/p>\n

 <\/p>\n

Le contexte de l'attaque Spring4Shell<\/h2>\n

Apr\u00e8s la biblioth\u00e8que Java Log4j, un vuln\u00e9rabilit\u00e9 de type Zero-Day<\/em> concernant le framework Java Spring a \u00e9t\u00e9 identifi\u00e9e et corrig\u00e9e le 31 mars. Mais il appara\u00eet que cette vuln\u00e9rabilit\u00e9 est d\u00e9j\u00e0 activement exploit\u00e9e, puisque le code le permettant ayant \u00e9t\u00e9 rendu publiquement disponible sur le web.<\/p>\n

Rappelons que ce framework est largement utilis\u00e9 pour le d\u00e9veloppement d\u2019applications web et son inclusion dans un grand nombre de logiciels laisse donc pr\u00e9sager le m\u00eame cauchemar que Log4Shell pour la communaut\u00e9 des d\u00e9veloppeurs.<\/p>\n

 <\/p>\n

Les d\u00e9tails techniques de la vuln\u00e9rabilit\u00e9<\/h2>\n

La vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans la fonction getCachedIntrospectionResults<\/strong> qui expose l\u2019ensemble de la classe de l\u2019objet lors de l\u2019association des param\u00e8tres.<\/p>\n

Le m\u00e9canisme d\u2019association des requ\u00eates HTTP \u00e0 des objets de l\u2019application est donc impact\u00e9. Cela signifie que l\u2019utilisateur peut forger une requ\u00eate HTTP (via l\u2019URL) afin d\u2019obtenir en retour de la requ\u00eate le d\u00e9tail de la classe d\u2019objet. Ce type d\u2019exposition peut \u00eatre utilis\u00e9 pour charger en retour un code malveillant qui ira modifier la classe dynamiquement, voir ex\u00e9cuter du code. Typiquement dans le cas observ\u00e9, il s\u2019agit de charger un webshell qui donnera \u00e0 l\u2019utilisateur distant le contr\u00f4le total de la machine, avec les droits d\u2019ex\u00e9cution de la machine Java (souvent root).<\/p>\n

Afin de comprendre l\u2019origine de la vuln\u00e9rabilit\u00e9, il faut remonter au commentaire<\/a> autour d\u2019une fonction potentiellement dangereuse expos\u00e9e par le framework Spring avertissant le d\u00e9veloppeur d\u2019un risque de s\u00e9curit\u00e9.<\/p>\n

\"\"

Illustration 1 : commentaire du commit autour du ticket gh-28075<\/em><\/small><\/p><\/div>\n

C\u2019est l\u2019\u00e9v\u00e8nement d\u00e9clencheur de plusieurs recherches de vuln\u00e9rabilit\u00e9s conduites sur ce m\u00e9canisme du framework Spring qui ont rapidement abouties \u00e0 la d\u00e9couverte de la CVE qui nous int\u00e9resse ici, Spring4Shell.<\/p>\n

Cependant, Spring4Shell n\u2019est que le contournement d\u2019une ancienne vuln\u00e9rabilit\u00e9, la CVE-2010-1622, impactant le constructeur de la classe CachedIntrospectionResults<\/strong> qui a d\u00e9j\u00e0 \u00e9t\u00e9 patch\u00e9e.<\/p>\n

\"\"

Illustration 2 : patch du 2 juillet 2010 du framework Spring v2.5 pour la CVE-2010-1622<\/em><\/small><\/p><\/div>\n

\"\"

Illustration 3 : patch du 31 mars 2022 du framework Spring v5.3 pour la CVE-2022-22965<\/em><\/small><\/p><\/div>\n

 <\/p>\n

Versions et logiciels impact\u00e9s<\/h3>\n

Il a \u00e9t\u00e9 observ\u00e9 des preuves de concept sur les logiciels et SDK suivants\u00a0:<\/p>\n