TecNoticias, tu portal de información

Una vulnerabilidad de día cero recientemente descubierta conocida como Spring4Shell podría tener “un impacto mayor” que Log4j. Log4j hizo olas en los últimos meses ya que la vulnerabilidad en la popular biblioteca de registro de código abierto permitió a los atacantes ingresar a los sistemas, robar contraseñas e inicios de sesión, extraer datos e infectar redes con software malicioso. Sin embargo, la atención ahora se está desplazando hacia el exploit Spring4Shell. Spring4Shell es una vulnerabilidad de ejecución remota de código (RCE) de día cero en el marco Spring que se descubrió después de que un investigador de seguridad chino filtró un exploit de prueba de concepto (PoC) en GitHub.

“En ciertas configuraciones, la explotación de este problema es sencilla, ya que solo requiere que un atacante envíe una solicitud HTTP manipulada a un sistema vulnerable”, explicaron los investigadores de seguridad de Praetorian Anthony Weems y Dallas Kaman. “Sin embargo, la explotación de diferentes configuraciones requerirá que el atacante realice una investigación adicional para encontrar cargas útiles que sean efectivas”. Los investigadores de seguridad responsables están reteniendo detalles adicionales para limitar el daño potencial hasta que se parchee el marco Spring. Mientras tanto, Praetorian recomienda “crear un componente ControllerAdvice (que es un componente de Spring compartido entre los controladores) y agregar patrones peligrosos a la lista de denegación”. Actualmente, los investigadores están divididos sobre cuán severo podría ser el impacto en el mundo real. “La información actual sugiere que para explotar la vulnerabilidad, los atacantes tendrán que ubicar e identificar instancias de aplicaciones web que realmente usan DeserializationUtils, algo que los desarrolladores ya saben que es peligroso”, dijo Flashpoint en su análisis. Otros investigadores están más preocupados. “El equipo de Contrast Security Labs ha confirmado una vulnerabilidad crítica de día cero denominada Spring4Shell, que afecta al artefacto spring-core, que es un marco popular utilizado ampliamente en el 74 % de las aplicaciones Java”, dijo David Lindner, CISO de Contrast Security. “El equipo de Contrast Labs ha probado el exploit debido a la forma en que una aplicación Spring maneja el enlace, y creemos que podría tener un impacto mayor que Log4j. Nuestro equipo continúa explorando esta vulnerabilidad. “Recomendamos a los desarrolladores de Java que establezcan específicamente la propiedad de los campos permitidos o establezcan correctamente los campos no permitidos para los patrones de ataques maliciosos conocidos dentro de la clase DataBinder”. En lugar de esperar más análisis, es mejor ser proactivo para asegurarse de que sus aplicaciones y servicios estén protegidos contra la vulnerabilidad Spring4Shell. (Foto de Hennie Stander en Unsplash)

Relacionados: Google quiere aumentar la colaboración del gobierno para asegurar el código abierto

¿Quiere aprender más sobre ciberseguridad de los líderes de la industria? Echa un vistazo a Cyber ​​Security & Cloud Expo. Los próximos eventos de la serie se llevarán a cabo en Santa Clara los días 11 y 12 de mayo de 2022, Ámsterdam los días 20 y 21 de septiembre de 2022 y Londres los días 1 y 2 de diciembre de 2022. Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados ​​por TechForge aquí. Etiquetas: ciberseguridad, desarrollo, exploit, framework, hacking, infosec, java, log4j, seguridad, software, spring framework, spring4shell, vulnerabilidad