آسیب پذیری Spring4Shell: ارزیابی ریسک

چگونه متوجه می شوید که سیستم شما در برابر آسیب پذیری بزرگی مانند Spring4Shell آسیب پذیر است؟ ممکن است برای دریافت خدمات بیمه یا مجموعه ای از گواهی های خاص، نیاز به انجام تعدادی آزمایش خارجی روی دارایی های وب خود داشته باشید. این گزارش‌ها اغلب نشان می‌دهند که بخش‌های خاصی از وب‌سایت شما در معرض خطر هستند و احتمالاً باعث ایجاد مشکلات امنیتی و خطراتی برای وب‌سایت شما می‌شوند. در نهایت، باید تشخیص های مثبت کاذب را بررسی کنید و اگر مطمئن هستید، به مدیریت اطلاع دهید که مورد شناسایی شده واقعاً در معرض خطر است.

او قبلاً مواردی از تشخیص های مثبت کاذب را در اسکن های خارجی دیده است‌می دانیم که دلیل اصلی این است که یک پورت باز است و با مشکل همراه است، حتی اگر سرویس روی آن پورت کار نکند. هنگامی که یک تست نفوذ آسیب پذیری یا اسکن دارید، می توانید یافته ها را به چالش بکشید و به محقق توضیح دهید که مورد مورد نظر برای شما آسیب پذیری ایجاد نمی کند. البته این فرآیند شانس شما را برای انجام سایر اقدامات امنیتی کاهش می دهد. از سوی دیگر، از آنجایی که پذیرش این موارد نسبت به بحث با بازرس زمان نسبتاً کمتری می برد، در بسیاری از موارد با این یافته ها موافق هستیم.

آیا Spring4Shell یک تهدید واقعی است؟

Spring4Shell یک مشکل بزرگ بود، اما به تدریج کارایی آن کاهش یافت. مایکروسافت مکانیسم های امنیتی ویژه ای را برای مقابله با سوء استفاده های Spring4Shell CVE-2022-22963، CVE-2022-22965 و CVE-2022-22947 در برنامه های فایروال منتشر کرده است.

برای ارزیابی تأثیر یک آسیب‌پذیری، تیم‌ها و سازمان‌های امنیتی معمولاً هنگام تصمیم‌گیری امنیتی یا بررسی اطلاعات گزارش‌شده درباره مشکل، با متولیان مشورت می‌کنند. همچنین در مورد Spring4Shell، به نظر می رسد که تیتر اخبار منتشر شده صرفاً یک هیجان کاذب است و چندان به خطرات واقعی اشاره ای نکرده است.

برای مثال، مایکروسافت به Spring4Shell گفت: «در 31 مارس 2022، آسیب‌پذیری‌های Springframe برای جاوا عمومی شد. مایکروسافت در حال ارزیابی تاثیر این آسیب‌پذیری‌ها است. این وبلاگ برای مشتریانی است که می خواهند از خود در برابر سوء استفاده محافظت کنند و آسیب پذیری ها را در اجرای از راه دور کد CVE-2022-22965 شناسایی کنند که به عنوان SpringShell یا Spring4Shell نیز شناخته می شود. فریم ورک Spring یکی از پرکاربردترین فریم ورک های منبع باز سبک وزن برای جاوا است. در نسخه 9 یا جدیدتر کیت توسعه جاوا، یک مهاجم می تواند از راه دور یک شی AccessLogValve را از طریق پارامترهای این فریمورک به دست آورد و سپس از مقادیر مخرب برای فعال کردن مکانیزم خط لوله و در صورت وجود شرایط خاص، اطلاعات “هدف را بنویسد” استفاده کند. در یک فایل به روش دلخواه.”

در واقع، شرایط ذکر شده توسط مایکروسافت تقریبا غیر معمول است و سوء استفاده های واقعی زیادی در مورد آن وجود نداشت. محققان آن را دوست دارند ویل دورمن این نشان می دهد که این خبر آنقدرها هم که به نظر می رسد مهم نیست. او گفت: «تنها تعداد انگشت شماری از برنامه های تحت وب (مانند Red Hat JBoss Fuse 7، که اگرچه یک کتابخانه Spring آسیب پذیر نیست، اما کد اکسپلویت منتشر شده در اینترنت را اجرا نمی کند) واقعاً تحت تأثیر آن هستند.

بر اساس گزارش های اخیر، Spring4Shell در حملات هدفمند در سنگاپور استفاده شده است و مهاجمان توانسته اند از نرم افزار بات نت Mirai در سیستم ها استفاده کنند. هنوز مشخص نیست که او پس از ترک این سمت چه خواهد کرد.

بهترین راه برای رفع این آسیب پذیری ها

در چنین شرایطی تیم های امنیت سایبری باید کدام مسیر را انتخاب کنند؟ ترس از نصب وصله های امنیتی بدون آزمایش یا از بین بردن نرم افزارهای بالقوه آسیب پذیر؟ برای پاسخ به این سوال، ابتدا باید بررسی کنید که چه موانعی بین تجهیزات شما و اینترنت وجود دارد. حتی برای دستگاه هایی که با اینترنت در تماس هستند، هر دستگاه یا منبعی باید راهی برای فیلتر کردن یا جستجوی چنین مدل هایی داشته باشد. به عنوان مثال، فایروال برنامه های کاربردی وب ممکن است به دنبال الگوها یا رشته های غیر معمول باشد. ارائه دهندگان برنامه های کاربردی وب معمولا به سرعت قوانینی را به این فایروال ها اضافه می کنند تا حملات احتمالی را شناسایی کنند.

بهترین پاسخ برای خطر Spring4Shell

در ارتباط با Spring4Shell، می توانید یک لیست سیاه در فایروال تنظیم کنید تا رشته های حاوی مقادیری مانند کلاس را مسدود کنید. *، کلاس. *، * .کلاس. *، و * .کلاس. *.

سپس کدهای آسیب پذیر را در سیستم های خود بررسی کنید. نسخه های آسیب پذیر جاوا یا سرور Tomcat ممکن است در سیستم شما وجود نداشته باشد. به نظر می رسد Spring4Shell بر پیکربندی های زیر تأثیر می گذارد:

• نسخه های Spring Framework قبل از 5.2.20، 5.3.18 و Java Development Kit نسخه 9 یا بالاتر.
• آپاچی تامکت;
• وابستگی Spring-webmvc یا Spring-webflux.
• غوطه وری یک پارامتر فنری که برای استفاده از یک پارامتر پیچیده خاص، مانند اشیاء معمولی قدیمی جاوا، پیکربندی شده است.
• فایل های قابل نصب بسته بندی شده در فرمت آرشیو WAR
• تاسیسات مبتنی بر JAR

در نهایت، همیشه سعی کنید اطلاعات و منابع مفید را بررسی کنید. اگر تیم‌های تست آسیب‌پذیری ندارید، بهتر است با بازدید از وب‌سایت‌هایی مانند Reddit و وبلاگ‌های دیگر اطلاعات بیشتری کسب کنید، زیرا معمولاً سؤالات یا راه‌حل‌های بیشتری دارند که ممکن است شما و تیمتان به آن فکر نکرده باشید. اگر منابع امنیتی خارجی دارید، با مشاوران و تست های نفوذ پیاده سازی تماس بگیرید تا منابع و توصیه های لازم را از آنها دریافت کنید.

در نهایت، آسیب پذیری Spring4Shell را جدی بگیرید، اما در تخصیص منابع مراقب باشید. فقط با خواندن یک عنوان خود را قضاوت نکنید.

برای مطالعه سایر مقالات امنیت سایبری اینجا را کلیک کنید.

منبع: csoonline