De Spring4Shell zero-day kwetsbaarheid in het Spring Core Java framework maakt remote code execution op applicaties mogelijk. Security-experts verwachten mogelijk dezelfde impact als Log4Shell.
Gisteren werd de nieuwe kwetsbaarheid CVE-2022-22963 onthuld. Later circuleerde informatie over een kritieke Spring Core kwetsbaarheid voor code-executie op afstand via de chatdienst QQ en een Chinese securitysite.
Op donderdag lekte een exploit kort uit. Securityonderzoekers konden de code downloaden. Sindsdien hebben tal van onderzoekers en beveiligingsbedrijven bevestigd dat de kwetsbaarheid geldig is en aanleiding geeft tot grote zorgen.
“Wat log4j zo’n probleem maakte, is dat het vaak wordt geïnstalleerd op appliances en andere ‘headless’ apparaten die niet worden onderhouden door de eindklant,” stelt John Bambenek, principal threat hunter bij Netenrich, tegenover SiliconANGLE. “Ieder RCE-probleem zou direct bovenaan de lijst moeten komen van beveiligingsteams.”
Nieuwe Log4Shell?
Spring is een zeer populair framework voor het bouwen van Java-applicaties. Het leidt tot grote bezorgdheid dat de nieuwe kwetsbaarheid kan leiden tot forse aanvallen. Doordat een eenvoudige HTTP POST naar een kwetsbare app nodig is, kunnen cybercriminelen scripts maken die het internet scannen en automatisch kwetsbare servers exploiteren.
De exploits kunnen worden gebruikt om opdrachten op de server uit te voeren, wat volledige toegang op afstand tot het apparaat mogelijk maakt.
Tip: Log4Shell: ongekende impact, harde lessen voor software-ontwikkelaars
1 uur geleden
