{"id":26579,"date":"2022-04-06T14:29:11","date_gmt":"2022-04-06T12:29:11","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26579"},"modified":"2022-04-06T14:29:11","modified_gmt":"2022-04-06T12:29:11","slug":"spring4shell-critical-vulnerability-in-spring-java-framework","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/spring4shell-critical-vulnerability-in-spring-java-framework\/26579\/","title":{"rendered":"Spring4Shell: vulnerabilit\u00e0 critica nel framework Spring Java"},"content":{"rendered":"

I ricercatori hanno scoperto una vulnerabilit\u00e0 critica, CVE-2022-22965<\/a>, in Spring, un framework open source per la piattaforma Java. Sfortunatamente, i dettagli sulla vulnerabilit\u00e0 sono trapelati al pubblico prima che l\u2019annuncio ufficiale fosse pubblicato e le relative patch rilasciate.<\/p>\n

La vulnerabilit\u00e0 ha immediatamente attirato l\u2019attenzione degli specialisti della sicurezza delle informazioni, poich\u00e9 potenzialmente rappresenta una seria minaccia per molte applicazioni web. Data la somiglianza con il troppo pubblicizzato Log4Shell<\/a>, la nuova vulnerabilit\u00e0 \u00e8 stata chiamata Spring4Shell.<\/p>\n

I creatori del framework VMware Spring hanno gi\u00e0 rilasciato delle patch per correggere le applicazioni vulnerabili, quindi si consiglia a tutte le aziende che utilizzano le versioni 5.3 e 5.2 di Spring Framework di aggiornare immediatamente alle versioni 5.3.18 o 5.2.20.<\/p>\n

Cos\u2019\u00e8 Spring4Shell e perch\u00e9 questa vulnerabilit\u00e0 \u00e8 cos\u00ec pericolosa?<\/h2>\n

La vulnerabilit\u00e0 appartiene alla classe RCE, cio\u00e8 permette ad un attaccante di eseguire codice dannoso da remoto. Al momento, secondo il calcolatore CVSS v3.0<\/a>, la sua gravit\u00e0 \u00e8 9,8 su 10. La vulnerabilit\u00e0 colpisce le applicazioni Spring MVC e Spring WebFlux in esecuzione sotto Java Development Kit versione 9 o successiva.<\/p>\n

I ricercatori hanno segnalato la vulnerabilit\u00e0 scoperta a VMware marted\u00ec sera, ma gi\u00e0 mercoled\u00ec \u00e8 stato pubblicato su GitHub un proof of concept per la vulnerabilit\u00e0. Il PoC \u00e8 stato rapidamente rimosso, ma non prima che fosse notato da esperti di sicurezza (alcuni dei quali hanno confermato la pericolosit\u00e0 della vulnerabilit\u00e0). Ed \u00e8 molto improbabile che un exploit cos\u00ec potente sia passato inosservato ai criminali informatici.<\/p>\n

Il framework Spring \u00e8 abbastanza popolare tra gli sviluppatori Java, il che significa che potenzialmente molte applicazioni potrebbero essere vulnerabili. Secondo un post di Bleeping Computer<\/a>, le applicazioni Java vulnerabili a Spring4Shell potrebbero diventare una causa di compromissione per un enorme numero di server. Inoltre, secondo lo stesso post, la vulnerabilit\u00e0 \u00e8 gi\u00e0 attivamente sfruttata in natura.<\/p>\n

Maggiori dettagli tecnici, insieme agli indicatori di compromissione per gli exploit Spring4Shell possono essere trovati in un post sul blog di Securelist<\/a>. C\u2019\u00e8 anche una descrizione di un\u2019altra vulnerabilit\u00e0 critica nel framework Spring Java (CVE-2022-22963) nello stesso post.<\/p>\n

Condizioni per sfruttare una vulnerabilit\u00e0 di Spring4Shell<\/h2>\n

L\u2019unico metodo di sfruttamento di Spring4Shell conosciuto al momento della pubblicazione richiede una specifica confluenza di circostanze. Affinch\u00e9 l\u2019exploit abbia successo, i seguenti componenti dovrebbero essere utilizzati sul lato interessato:<\/p>\n