עשרות אלפי ארגונים נחשפו השבוע לחולשה חדשה בשם Spring4shell

עשרות אלפי ארגונים נחשפו השבוע לחולשה חדשה בשם Spring4shell 
מאת: מערכת Telecom News, 3.4.22, 14:23

החולשה, שהתגלתה ב-29.3.22, פוגעת בספריית Spring הפופולרית הנוספת לקוד ג'אווה המקלה על מפתחי הג'אווה ופוגעת בשרתי הארגונים. כיצד ניתן להתגונן מפני החולשה הזו?
 
קונטרסט סקיוריטי, שמספקת פתרונות לאבטחת יישומים בענן בתהליכי פיתוח, פרסמה מחקר בבלוג שלה - כאן, שמספר חודשים לאחר שנגלתה הפגיעות בספריית ג'אווה Log4J, שזכתה לכינוי Log4Shell, נחשפה פגיעות חדשה בשם Spring4Shell, שכעת נראית עם אותה רמת פוטנציאל. היא פוגעת בספריית Spring הפופולרית הנוספת לקוד ג'אווה ומקלה על מפתחי הג'אווה. מדובר בספרייה פופולרית מאוד של פיתוח בג'אווה. כ-3 מתוך 4 אפליקציות המפותחות בג'אווה מפותחות עם ספריית Spring.
 
פגיעות זו הייתה קיימת בעבר, אך פיתחו לה טלאי נוסף וכעת בגרסה החדשה של ספריית Spring יש פירצה המאפשרת את הפגיעות הזו. הפגיעות הזו מאפשרת להאקרים להריץ קוד זדוני על שרתים של ארגונים ולעשות נזקים רבים. אין עדיין פתרון קסם לבעיה. יש פתרונות ברמת קוד המצמצמות את היכולת של הפגיעה. ,
 
טל מלמד, דירקטור בכיר למחקר בקונטרסט סקיוריטי, מפרט ומסביר: "רק לפני מספר חודשים היינו עדים לאחת מחולשות האבטחה הגדולות והמשמעותיות ביותר בשנים האחרונות. ושוב, ב29.3.22, התגלתה חולשה, שעלולה להשפיע על רוב יישומי Java הארגוניים, בכל רחבי העולם.
 
מחקר סביב הנושא הראה, שהסיבה העיקרית הייתה פגיעות ב-Framework קוד-פתוח בעל שימוש נרחב הנקרא Core Spring. גם הפעם, מדובר בניצול של חולשה מסוג Dependency Software. החולשה אומנם התגלתה לאחרונה אבל מסתבר, שהיא קיימת כבר משנת 2017.
 
מה זה CoreSpring ?
Spring Framework היא הבסיס לרוב היישומים הארגוניים, שנכתבו בשפת התכנות Java. הנתונים האחרונים שלנו הראו, ש-Spring Core נמצא בשימוש ע"י כמעט שלושה מכל 4 יישומי Java. באופן ספציפי, Spring מספקת את ה"צנרת" של יישומים ארגוניים. כך, שהמפתחים יכולים להתמקד בפיתוח הלוגיקה העסקית ברמת האפליקציה ולא בהקמת ופריסה לסביבות השונות.
 
האם ניתן לראות הדגמה של החולשה הזו?
פחות מיממה לאחר פרסום החולשה, צוות המחקר של Contrast Security הצליח להדגים אותה. לאור המחקר וההדגמה הזו נראה, שהחולשה הזו, Spring4Shell, עלולה להיות המקור להרצת קוד מרוחק (RCE).

צפיייה בהדגמת החולשה - כאן.
 
בנוסף, צוות ה-Cloud Native של החברה הצליח להוכיח את הפגיעות הזו אף בסביבות ענן, כגון AWS.
 
האם כל ארגון שמשתמש ב-spring framework פגיע?
ישנן מספר "דרישות מקדימות" כדי שאפליקציה תהיה פגיעה:
●       אתה משתמש באפליקציית Spring (עד וכולל גרסה 5.3.17)
●       האפליקציה שלך פועלת על Java 9+
●       אינך משתמש בהמרת ההודעות הפופולרית יותר של JSON/XML של Spring
●       אינך משתמש ברשימת היתרים -OR- אין לך רשימת מניעה החוסמת שדות כמו "class", "module", "classLoader"
 
כיצד ניתן להתגונן מפני החולשה הזו?
1. שדרג את Spring Framework ל-5.3.18 או 5.2.20 שמפחית את הפגיעות.
2. אם אינך יכול לשדרג, עבור כל מי שמשתמש בליבת Spring ומחייב לסוגים לא בסיסיים כגון POJOs, הגדר את השדות המותרים כדי לציין את הקבצים היחידים, שבהם אתה רוצה שהאפליקציה שלך תשתמש.
מתוך הדוקומנטציה של  Spring - כאן.
3. יש כלים יעילים בעצירת התקפות של החולשה המוכרים כרגע. עם זאת, כמו בכל התקפה משמעותית, האקרים מקצועיים יפתחו גרסאות חדשות ושונות של ניצול החולשה.

הודעת מערך הסייבר הלאומי בנושא זה - כאן ועדכון - כאן.

עדכון 4.4.22, 14:26 לגבי פרצת Log4Shell: סופוס, שעוסקת באבטחת סייבר, פרסמה מחקר על השימוש שעושים תוקפים בפרצת האבטחה Log4Shell כדי להחדיר נוזקות מסוג "דלת אחורית" ו-Profiling Scripts לשרתי VMware Horizon, שלא עודכנו בתיקוני אבטחה, ובכך הסדירו גישה מתמשכת לשרתים אלה ופתחו פתח למתקפות כופר עתידיות.
 
המחקר שכותרתו "Horde of miner bots and backdoors leveraged Log4J to attack VMware Horizon servers – Sophos News" מפרט את הכלים והטכניקות המשמשים לפריצת השרתים, להתקנת 3 דלתות אחוריות ולהחדרת 4 תוכנות כריית מטבעות קריפטוגרפיים שונות.

Log4Shell היא פרצת אבטחה המאפשר הרצת קוד מרחוק ברכיב רישום היומן מבוסס ה-Java של שרת Apache, Log4j, שמוטמע במאות מוצרי תוכנה. הפרצה דווחה ותוקנה בדצמבר 2021. 

מטעני התקיפה המרובים, שהחברה זיהתה, שעשו שימוש בפרצת Log4Shell כדי לתקוף שרתי Horizon פגיעים כוללים:

• 2 כלים לגיטימיים לניטור וניהול מרחוק, Atera agent ו-Splashtop Streamer, שנועדו ככל הנראה לשימוש זדוני כדלתות אחוריות
• שירות הדלת האחורית הזדוני Silver
• תוכנות כריית המטבעות הקריפטוגרפיים z0Miner, JavaX miner, Jin ו-Mimu
• מספר מעטפות גישה מרחוק (Reverse shell) מבוססות PowerShell שאוספות מידע על המכשיר והגיבויים המוגדרים עבורו

בניתוח שביצעה החברה התגלה, שנוזקת Sliver מוחדרת לעתים יחד עם Profiling Scripts של Atera ו-PowerShell ומשמשת כדי להחדיר את הווריאנטים Jin ו-Mimu של רשת הבוטים לכריית מטבעות Xmrig Monero.
 
בעוד שחלק מההתקפות הקודמות השתמשו בתוכנת Cobalt Strike כדי להריץ את מטעני כריית המטבעות, גל ההתקפות הגדול ביותר, שהחל באמצע ינואר 2022, הריץ את הסקריפט המשמש להתקנת תוכנת הכרייה ישירות מתוך רכיב ה-Apache Tomcat הרץ על שרת VMware Horizon. גל ההתקפות הזה עודנו בעיצומו.
הצעד ההגנתי החשוב ביותר הוא התקנת הגרסה המתוקנת של Log4j בכל השרתים והיישומים שבהם נעשה שימוש ברכיב זה. בזאת נכללות גרסאות מתוקנות של VMware Horizon, בארגונים שמשתמשים ביישום זה ברשת שלהם. תוכנות כרייה ופעילות חריגה אחרת הן היבטים קריטיים בהתגוננות מפני מתקפות מסוג זה.