Spring4Shell: 37.000 Exploit-Versuche in wenigen Tagen

Nur kurz nach der Entdeckung der Spring4Shell-Schwachstelle – auch SpringShell genannt – waren bereits rund 37.000 Exploit-Versuche gemeldet – so der Check Point Research. In den ersten vier Tagen waren schon 16 % der Unternehmen weltweit in Mitleidenschaft gezogen. Die am stärksten betroffene Region war dabei Europa mit 20 % der Angriffe. Dabei wurde der Sektor der Softwareanbieter mit 28 % am stärksten getroffen.

Das Problem betrifft das Spring Framework, eines der drei beliebtesten Frameworks für die Entwicklung von Java-Anwendungen. Die Empfehlung für Benutzerorganisationen lautet, auf neuere Versionen zu aktualisieren und dabei die offiziellen Richtlinien des Spring-Projekts zu befolgen. Laut SecurityScorecard wurde die Schwachstelle mit CVE-2022-22965 bezeichnet und im CVSS-Ranking mit 9,8 bewertet. Diese Bewertung hat mit der oftmals leichten Realisierung der Attacken zu tun.

Bereits im Jahr 2010 wurde eine RCE-Schwachstelle in Spring Framework v2.5 entdeckt. Die neue RCE-Schwachstelle ist mit der alten verwandt, betrifft aber nur die Java-Versionen 9 und höher (JDK9+) und kann nur mit Endgeräten verwendet werden, die mit dem Internet verbunden sind.

„Scans, die nach einer bestimmten Kombination von Faktoren suchten, sollten dabei helfen, anfällige Instanzen zu identifizieren. Diese Form der IT-Überwachung wurde auf ein Viertel des Internets angewendet, was 150.000 anfällige Geräte ergab. Das weist darauf hin, dass möglicherweise bis zu 600.000 Geräte verwundbare Komponenten aufweisen“, sagt Jared Smith, Senior Director of Intelligence bei SecurityScorecard.

Ein weiterer besorgniserregender Punkt ist, dass die Spring-Umgebungen offenbar nur langsam aktualisiert werden. Das zeigen entsprechende Dashboards von Sonatype. Sie werten unter anderem aus, wie Patches für Spring4Shell eingesetzt werden. Demnach waren 79 % der Spring-Downloads am 31. März immer noch verwundbar. Das deutet darauf hin, dass die Entwickler nicht sofort gehandelt haben, um ihre Spring-Instanzen zu aktualisieren. Anwendungen mit ungepatchten Spring-Versionen müssen allerdings nicht zwangsläufig anfällig sein.

Sonatype betont, dass das Unternehmen, als die Log4Shell-Schwachstelle im Dezember letzten Jahres entdeckt wurde, damit begonnen hat, Statistiken zur Behebung des Problems zu veröffentlichen. Trotz dieser Initiative zur Sensibilisierung für das schwerwiegende Problem sind aber immer noch rund 40 % der Log4j2-Downloads anfällige Versionen.

Das Unternehmen weist außerdem darauf hin, dass die Spring4Shell-Sicherheitslücke trotz der Namensähnlichkeit mit Log4Shell nicht das gleiche Zerstörungspotenzial zu haben scheint. Für eine erfolgreiche Nutzung von Spring4Shell müssten bestimmte Bedingungen erfüllt sein.

Dieser Hinweis ist deshalb von Bedeutung, weil Nachrichten über die neue Schwachstelle zuvor zu der übermäßigen Besorgnis geführt hatten, dass schwere Schäden, wie sie durch Log4Shell im vergangenen Dezember verursacht wurden, erneut zu bewältigen seien. Nach Einschätzung von Sonatype scheint das Risiko jedoch geringer zu sein.

Wie Sie sich schützen können

Laut Microsoft sollte jedes System, als anfällig betrachtet werden, das JDK 9.0 oder höher verwendet. Systeme, die auf dem Spring Framework beziehungsweise abgeleiteten Frameworks basieren, zählen ebenfalls als verletzlich. Der Konzern hat – genau wie vielen andere Instanzen, die sich mit Sicherheitslücken beschäftigen – eine Übersicht mit anfälligen Produkten veröffentlicht. Außerdem listet Microsoft Tools, mit deren Hilfe sich die Gefährdung von Anwendungen einschätzen lässt.

So kann beispielsweise die Konsole zur Verwaltung von Bedrohungen und Schwachstellen in Microsoft 365 Defender dabei helfen, das Auftreten einer solchen Schwachstelle zu erkennen und zu melden. Das CERT Coordination Centre an der Carnegie Mellon University wiederum stellt eine Liste von Anbietern zur Verfügung, die bestätigt haben, dass einzelne ihrer Produkte anfällig sind oder untersucht werden.

Spring selbst gibt in seinem Blog eine Anleitung zur Anwendung der erforderlichen Korrektur mit dem Spring Framework-Update zur Behebung der Sicherheitslücke CVE-2022-22965.