Spring4Shell: Sicherheitslücken im Java Spring Framework
8. April 2022Sicherheitsforscher von Check Point haben mehrere Schwachstellen in Spring4Shell, einer beliebten Entwickler-Umgebung, entdeckt. 16 Prozent aller Organisationen weltweit waren nach vier Tagen bereits betroffen.
Die Sicherheitsforscher von Check Point Research (CPR) warnen alle Nutzer der beliebten Entwickler-Umgebung Java Spring Framework. Nach der Log4J-Schwachstelle ist damit die Spring4Shell-Schwachstelle entdeckt worden. Folgende Sicherheitslücken, die Kunden in den USA und in Europa betreffen, wurden offiziell registriert:
- CVE-2022-22947 – official VMware post,
- CVE-2022-22963 – official Spring project post sowie
- CVE-2022-22965 – official Spring project post.
Besonders Europa steht unter Feuer, wo 20 Prozent der Organisationen wegen Spring4Shell gefährdet sind. Software-Anbieter machen weltweit die größte Gruppe mit 28 Prozent aus. Sofortige Aktualisierung auf die jüngste Version, unter Befolgung des Leitfadens des Spring Project, wird angeraten, um wieder sicher zu sein.
Im Fall von Spring4Shell hatten die Sicherheitsforscher mehrere Indikatoren von Injection/Remote Code Execution als Angriffsweg festgestellt. Dies signalisierte, dass die untersuchten Payloads bösartig sind. Nutzer von CloudGuard AppSec waren trotz der offenen Sicherheitslücken geschützt und sind dies weiterhin. Weitere technische Details und eine Anleitung bezüglich CloudGuard AppSec finden sich im Blog-Beitrag von CPR. (rhh)