spring4shell

Schwachstellen in Spring Framework und Spring Cloud Function: Die wichtigsten Fakten

Druckfreundlich, PDF & E-Mail

Die Hardware und virtuellen Geräte der Barracuda Web Application Firewall; Barracuda CloudGen WAF auf AWS, Azure und GCP, Barracuda WAF-as-a-Service und Barracuda LoadBalancer ADC sind nicht von den Schwachstellen des Spring Frameworks (Spring4Shell) und der Remote-Code-Ausführung (Remote Code Execution, RCE) der Spring Cloud Function betroffen. Bitte halten Sie sich hier über diese Schwachstellen auf dem Laufenden, da wir weitere Updates veröffentlichen werden. 

Details zu den Schwachstellen

Dieser Blog enthält Updates zu kürzlich entdeckten Schwachstellen in Spring Framework (CVE-2022-22965 & CVE-2022-22950) und Spring Cloud Function (CVE-2022-22963).

Spring4Shell ist ein unzutreffender Name für diese Schwachstellen in Kombination (CVE-2022-22965, CVE-2022-22950 und CVE-2022-22963). Spring4Shell bezieht sich auf CVE-2022-22965. Bitte beachten Sie außerdem, dass Spring4Shell nichts mit der Log4j-Schwachstelle zu tun hat.

CVE-2022-22963 | CVSS Score: 9,8 | Schweregrad für Anbieter: Kritisch | RCE

Diese Schwachstelle wurde am 29. März 2022 gemeldet und betrifft nur die Spring Cloud Function, die nicht im Spring Framework enthalten ist. Spring hat bereits eine neuere Version veröffentlicht, die dies behebt.

Die Schwachstelle nutzt die Routing-Funktionalität, um speziell gestaltete Spring Expression Language (SpEL) als Routing-Ausdruck bereitzustellen, um auf lokale Ressourcen zuzugreifen und RCE durchzuführen. Sie verwendet einen speziellen HTTP-Anfrage-Header namens spring.cloud.function.routing-expression.

Barracuda Web Application Firewall, WAF-as-a-Service und LoadBalancer ADC sind von dieser Schwachstelle nicht betroffen.

CVE-2022-22965 | CVSS Score: 9,8 | Schweregrad für Anbieter: Kritisch | RCE | Spring4Shell

Diese Schwachstelle betrifft die Anwendungen von Spring MVC und Spring WebFlux, die auf JDK 9+ ausgeführt werden. Zum Zeitpunkt der Erstellung dieses Artikels betreffen öffentliche Ausnutzungen nur Anwendungen, die in Tomcat als WAR-Bereitstellung ausgeführt werden, und funktionieren nicht im Falle eines ausführbaren Spring Boots, der über eine JAR-Bereitstellung ausgeführt werden kann. Es ist jedoch möglich, dass nach ausreichenden Bemühungen auch Bereitstellungen außerhalb von Tomcat ausgenutzt werden können. Es handelt sich um eine RCE-Schwachstelle, durch die die für CVE-2010-1622 eingerichteten Schutzmaßnahmen umgangen werden können.

Die Schritte zum manuellen Konfigurieren der Signatur wurden in der Campus-Dokumentation aktualisiert.

Barracuda Web Application Firewall, WAF-as-a-Service und LoadBalancer ADC sind von dieser Schwachstelle nicht betroffen.

CVE-2022-22950 | CVSS Score: 5,4 | Schweregrad für Anbieter: Mittel | DoS

In Spring Framework Versionen 5.3.0 – 5.3.16 und älteren, nicht unterstützten Versionen ist es möglich, dass ein Benutzer einen speziell gestalteten SpEL-Ausdruck bereitstellt, der einen Denial-of-Service-Zustand verursachen kann.

Barracuda Web Application Firewall, WAF-as-a-Service und LoadBalancer ADC sind von dieser Schwachstelle nicht betroffen.

Angriffe – Erkennung und Schutz

Barracuda WAF-as-a-Service

Wir sind dabei, neue Signaturen einzuführen, um diese Exploit-Versuche zu erkennen und zu blockieren. Diese Signaturen wurden aktualisiert, um die Ausweichmanöver gemäß den neuesten Informationen der Anbieter und der Barracuda-Bedrohungsrecherchen zu behandeln.

Barracuda Web Application Firewall und Barracuda CloudGen WAF

Die neuesten Signaturen für diese Schwachstellen werden derzeit an die Einheiten vor Ort verteilt.

Für Bereitstellungen im privaten Bereich haben wir die Campus-Dokumente mit manuellen Schritten zur Risikominderung dieser Schwachstellen aktualisiert. Bitte beachten Sie, dass diese Signaturen zwar die bisher aufgetretenen Varianten erkennen, wir sie aber ständig aktualisieren, wenn neue Varianten entdeckt werden.

Als Best Practice empfehlen wir Ihnen, Ihre auf Spring Framework und Spring Cloud Function basierenden Web-Applikationen auf die neuesten Versionen gemäß Herstellerempfehlungen zu patchen.

Weitere Informationen zu den neuen Signaturen und Einstellungen, die für diese Risikominderung erforderlich sind, finden Sie in diesem Campus-Dokument.

Wenn Sie Hilfe bei diesen Einstellungen benötigen oder Fragen zu den Angriffsmustern haben, wenden Sie sich bitte an den technischen Support von Barracuda Networks.


Update: May 11, 2022

We have stopped the automated rollout of the detection signatures for the Spring4Shell vulnerabilities due to the number of false positives seen in the field.

At this time, it is advised that Barracuda Web Application Firewall customers apply the mitigations stated in the campus article manually. Please reach out to Barracuda Support for assistance, if required.

The Barracuda WAF-as-a-Service rollout has continued, and the signatures are in place. In case of false positives, please reach out to Barracuda Support.

Nach oben scrollen
Twittern
Teilen
Teilen