

چگونه متوجه می شوید که سیستم شما در برابر آسیب پذیری بزرگی مانند Spring4Shell آسیب پذیر است؟ ممکن است برای دریافت خدمات بیمه یا مجموعه ای از گواهی های خاص، نیاز به انجام تعدادی آزمایش خارجی روی دارایی های وب خود داشته باشید. این گزارشها اغلب نشان میدهند که بخشهای خاصی از وبسایت شما در معرض خطر هستند و احتمالاً باعث ایجاد مشکلات امنیتی و خطراتی برای وبسایت شما میشوند. در نهایت، باید تشخیص های مثبت کاذب را بررسی کنید و اگر مطمئن هستید، به مدیریت اطلاع دهید که مورد شناسایی شده واقعاً در معرض خطر است.
او قبلاً مواردی از تشخیص های مثبت کاذب را در اسکن های خارجی دیده استمی دانیم که دلیل اصلی این است که یک پورت باز است و با مشکل همراه است، حتی اگر سرویس روی آن پورت کار نکند. هنگامی که یک تست نفوذ آسیب پذیری یا اسکن دارید، می توانید یافته ها را به چالش بکشید و به محقق توضیح دهید که مورد مورد نظر برای شما آسیب پذیری ایجاد نمی کند. البته این فرآیند شانس شما را برای انجام سایر اقدامات امنیتی کاهش می دهد. از سوی دیگر، از آنجایی که پذیرش این موارد نسبت به بحث با بازرس زمان نسبتاً کمتری می برد، در بسیاری از موارد با این یافته ها موافق هستیم.
آیا Spring4Shell یک تهدید واقعی است؟
Spring4Shell یک مشکل بزرگ بود، اما به تدریج کارایی آن کاهش یافت. مایکروسافت مکانیسم های امنیتی ویژه ای را برای مقابله با سوء استفاده های Spring4Shell CVE-2022-22963، CVE-2022-22965 و CVE-2022-22947 در برنامه های فایروال منتشر کرده است.
برای ارزیابی تأثیر یک آسیبپذیری، تیمها و سازمانهای امنیتی معمولاً هنگام تصمیمگیری امنیتی یا بررسی اطلاعات گزارششده درباره مشکل، با متولیان مشورت میکنند. همچنین در مورد Spring4Shell، به نظر می رسد که تیتر اخبار منتشر شده صرفاً یک هیجان کاذب است و چندان به خطرات واقعی اشاره ای نکرده است.
برای مثال، مایکروسافت به Spring4Shell گفت: «در 31 مارس 2022، آسیبپذیریهای Springframe برای جاوا عمومی شد. مایکروسافت در حال ارزیابی تاثیر این آسیبپذیریها است. این وبلاگ برای مشتریانی است که می خواهند از خود در برابر سوء استفاده محافظت کنند و آسیب پذیری ها را در اجرای از راه دور کد CVE-2022-22965 شناسایی کنند که به عنوان SpringShell یا Spring4Shell نیز شناخته می شود. فریم ورک Spring یکی از پرکاربردترین فریم ورک های منبع باز سبک وزن برای جاوا است. در نسخه 9 یا جدیدتر کیت توسعه جاوا، یک مهاجم می تواند از راه دور یک شی AccessLogValve را از طریق پارامترهای این فریمورک به دست آورد و سپس از مقادیر مخرب برای فعال کردن مکانیزم خط لوله و در صورت وجود شرایط خاص، اطلاعات “هدف را بنویسد” استفاده کند. در یک فایل به روش دلخواه.”
در واقع، شرایط ذکر شده توسط مایکروسافت تقریبا غیر معمول است و سوء استفاده های واقعی زیادی در مورد آن وجود نداشت. محققان آن را دوست دارند ویل دورمن این نشان می دهد که این خبر آنقدرها هم که به نظر می رسد مهم نیست. او گفت: «تنها تعداد انگشت شماری از برنامه های تحت وب (مانند Red Hat JBoss Fuse 7، که اگرچه یک کتابخانه Spring آسیب پذیر نیست، اما کد اکسپلویت منتشر شده در اینترنت را اجرا نمی کند) واقعاً تحت تأثیر آن هستند.
بر اساس گزارش های اخیر، Spring4Shell در حملات هدفمند در سنگاپور استفاده شده است و مهاجمان توانسته اند از نرم افزار بات نت Mirai در سیستم ها استفاده کنند. هنوز مشخص نیست که او پس از ترک این سمت چه خواهد کرد.
بهترین راه برای رفع این آسیب پذیری ها
در چنین شرایطی تیم های امنیت سایبری باید کدام مسیر را انتخاب کنند؟ ترس از نصب وصله های امنیتی بدون آزمایش یا از بین بردن نرم افزارهای بالقوه آسیب پذیر؟ برای پاسخ به این سوال، ابتدا باید بررسی کنید که چه موانعی بین تجهیزات شما و اینترنت وجود دارد. حتی برای دستگاه هایی که با اینترنت در تماس هستند، هر دستگاه یا منبعی باید راهی برای فیلتر کردن یا جستجوی چنین مدل هایی داشته باشد. به عنوان مثال، فایروال برنامه های کاربردی وب ممکن است به دنبال الگوها یا رشته های غیر معمول باشد. ارائه دهندگان برنامه های کاربردی وب معمولا به سرعت قوانینی را به این فایروال ها اضافه می کنند تا حملات احتمالی را شناسایی کنند.
بهترین پاسخ برای خطر Spring4Shell
در ارتباط با Spring4Shell، می توانید یک لیست سیاه در فایروال تنظیم کنید تا رشته های حاوی مقادیری مانند کلاس را مسدود کنید. *، کلاس. *، * .کلاس. *، و * .کلاس. *.
سپس کدهای آسیب پذیر را در سیستم های خود بررسی کنید. نسخه های آسیب پذیر جاوا یا سرور Tomcat ممکن است در سیستم شما وجود نداشته باشد. به نظر می رسد Spring4Shell بر پیکربندی های زیر تأثیر می گذارد:
- نسخه های Spring Framework قبل از 5.2.20، 5.3.18 و Java Development Kit نسخه 9 یا بالاتر.
- آپاچی تامکت;
- وابستگی Spring-webmvc یا Spring-webflux.
- غوطه وری یک پارامتر فنری که برای استفاده از یک پارامتر پیچیده خاص، مانند اشیاء معمولی قدیمی جاوا، پیکربندی شده است.
- فایل های قابل نصب بسته بندی شده در فرمت آرشیو WAR
- تاسیسات مبتنی بر JAR
در نهایت، همیشه سعی کنید اطلاعات و منابع مفید را بررسی کنید. اگر تیمهای تست آسیبپذیری ندارید، بهتر است با بازدید از وبسایتهایی مانند Reddit و وبلاگهای دیگر اطلاعات بیشتری کسب کنید، زیرا معمولاً سؤالات یا راهحلهای بیشتری دارند که ممکن است شما و تیمتان به آن فکر نکرده باشید. اگر منابع امنیتی خارجی دارید، با مشاوران و تست های نفوذ پیاده سازی تماس بگیرید تا منابع و توصیه های لازم را از آنها دریافت کنید.
در نهایت، آسیب پذیری Spring4Shell را جدی بگیرید، اما در تخصیص منابع مراقب باشید. فقط با خواندن یک عنوان خود را قضاوت نکنید.
برای مطالعه سایر مقالات امنیت سایبری اینجا را کلیک کنید.
منبع: csoonline