Categories: NoticiasProgramación

La vulnerabilidad Spring4Shell podría tener ‘un impacto mayor’ que Log4j

Una vulnerabilidad de día cero recientemente descubierta conocida como Spring4Shell podría tener “un impacto mayor” que Log4j. Log4j hizo olas en los últimos meses ya que la vulnerabilidad en la popular biblioteca de registro de código abierto permitió a los atacantes ingresar a los sistemas, robar contraseñas e inicios de sesión, extraer datos e infectar redes con software malicioso. Sin embargo, la atención ahora se está desplazando hacia el exploit Spring4Shell. Spring4Shell es una vulnerabilidad de ejecución remota de código (RCE) de día cero en el marco Spring que se descubrió después de que un investigador de seguridad chino filtró un exploit de prueba de concepto (PoC) en GitHub.

“En ciertas configuraciones, la explotación de este problema es sencilla, ya que solo requiere que un atacante envíe una solicitud HTTP manipulada a un sistema vulnerable”, explicaron los investigadores de seguridad de Praetorian Anthony Weems y Dallas Kaman. “Sin embargo, la explotación de diferentes configuraciones requerirá que el atacante realice una investigación adicional para encontrar cargas útiles que sean efectivas”. Los investigadores de seguridad responsables están reteniendo detalles adicionales para limitar el daño potencial hasta que se parchee el marco Spring. Mientras tanto, Praetorian recomienda “crear un componente ControllerAdvice (que es un componente de Spring compartido entre los controladores) y agregar patrones peligrosos a la lista de denegación”. Actualmente, los investigadores están divididos sobre cuán severo podría ser el impacto en el mundo real. “La información actual sugiere que para explotar la vulnerabilidad, los atacantes tendrán que ubicar e identificar instancias de aplicaciones web que realmente usan DeserializationUtils, algo que los desarrolladores ya saben que es peligroso”, dijo Flashpoint en su análisis. Otros investigadores están más preocupados. “El equipo de Contrast Security Labs ha confirmado una vulnerabilidad crítica de día cero denominada Spring4Shell, que afecta al artefacto spring-core, que es un marco popular utilizado ampliamente en el 74 % de las aplicaciones Java”, dijo David Lindner, CISO de Contrast Security. “El equipo de Contrast Labs ha probado el exploit debido a la forma en que una aplicación Spring maneja el enlace, y creemos que podría tener un impacto mayor que Log4j. Nuestro equipo continúa explorando esta vulnerabilidad. “Recomendamos a los desarrolladores de Java que establezcan específicamente la propiedad de los campos permitidos o establezcan correctamente los campos no permitidos para los patrones de ataques maliciosos conocidos dentro de la clase DataBinder”. En lugar de esperar más análisis, es mejor ser proactivo para asegurarse de que sus aplicaciones y servicios estén protegidos contra la vulnerabilidad Spring4Shell. (Foto de Hennie Stander en Unsplash)

Relacionados: Google quiere aumentar la colaboración del gobierno para asegurar el código abierto

¿Quiere aprender más sobre ciberseguridad de los líderes de la industria? Echa un vistazo a Cyber ​​Security & Cloud Expo. Los próximos eventos de la serie se llevarán a cabo en Santa Clara los días 11 y 12 de mayo de 2022, Ámsterdam los días 20 y 21 de septiembre de 2022 y Londres los días 1 y 2 de diciembre de 2022. Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados ​​por TechForge aquí. Etiquetas: ciberseguridad, desarrollo, exploit, framework, hacking, infosec, java, log4j, seguridad, software, spring framework, spring4shell, vulnerabilidad

Erica Flores

Enamorada de la tecnología. Apasionada de la velocidad que la información puede adquirir en este mundo cambiante. Actualmente residiendo en Barcelona.

Recent Posts

Máquina de mano Lean, Green, Raspberry Pi

Los días felices de la PDA y Blackberry han quedado definitivamente atrás, pero el factor…

2 years ago

Cómo pronosticar series de tiempo usando autorregresión

Tutorial sobre cómo pronosticar usando un modelo autorregresivo en PythonFoto de Aron Visuals en UnsplashForecasting…

2 years ago

Aquí están todas las formas en que puede cargar su AirPods Pro

Si tienes un iPhone, los AirPods Pro son la opción obvia para escuchar música, ¡aunque…

2 years ago

Las principales noticias tecnológicas del lunes: la prohibición de clientes de terceros de Twitter parece no ser un accidente

Ilustración de Alex Castro / The Verge Plus nuevos rumores sobre el quinto Galaxy Fold.…

2 years ago

AirPods Max 2: aquí están las características más solicitadas

Se rumorea que los auriculares premium de próxima generación de Apple, los AirPods Max 2,…

2 years ago

El remake de Dead Space continúa luciendo terriblemente genial en el nuevo tráiler de la historia

El desarrollador Motive Studio y el editor EA han lanzado un nuevo tráiler de la…

2 years ago