Spring4Shell já atinge mais de 15% das empresas no mundo

Cerca de 37 mil tentativas de exploração foram reportadas no primeiro final de semana desde que a vulnerabilidade Spring4Shell – também chamado simplesmente de SpringShell por alguns pesquisadores – foi identificada, de acordo com a Check Point Research. Durante os primeiros quatro dias, 16% de empresas ao redor do mundo já haviam sido afetadas. A região mais impactada foi a Europa, respondendo por 20% dos ataques, enquanto fornecedores de software foram o setor mais impactado (28%).

O problema afeta o Spring Framework, uma dos três estruturas mais populares para desenvolvimento de aplicações Java, e a recomendação para organizações usuárias é a atualização para versões mais recentes, seguindo as orientações oficiais do projeto Spring. Segundo a SecurityScorecard, ela recebeu a designação CVE-2022-22965 e obteve pontuação 9,8 no ranking CVSS, devido parcialmente à facilidade de exploração.

Em 2010, outra vulnerabilidade RCE foi identificada no Spring Framework v2.5. A nova vulnerabilidade RCE está relacionada a essa antiga, mas afeta apenas versões Java 9 e superiores (JDK9+), e pode ser explorada apenas com endpoints com interface com a Internet.

“Varreduras em busca de uma combinação específica de fatores sugestivos de instâncias frágeis encontraram 150 mil dispositivos vulneráveis após monitorar um quarto da Internet. Isso é um indicador de que até 600 mil dispositivos podem ter componentes vulneráveis exploráveis”, afirma Jared Smith, sênior diretor de inteligência da SecurityScorecard.

Outro ponto preocupante é que a velocidade com que os ambientes Spring estão sendo atualizados parece lenta. De acordo com a Sonatype, que mantém um painel para rastrear como estão sendo empregadas as correções para a Spring4Shell, 79% dos downloads do Spring desde 31 de março seguiam vulneráveis, sugerindo que os desenvolvedores não agiram prontamente para atualizar suas instâncias do Spring. Isso não significa, contudo, que os aplicativos que executam versões sem patches do Spring estejam necessariamente vulneráveis.

A Sonatype relembra que, quando a vulnerabilidade Log4Shell foi identificada, em dezembro passado, também passou publicar estatísticas de remediação. Contudo, apensar da iniciativa de conscientização sobre o sério problema, cerca de 40% dos downloads do log4j2 ainda são versões vulneráveis.

A empresa destaca que, ainda que haja semelhança de nomes com a Log4Shell, a vulnerabilidade Spring4Shell não parece ser ter o mesmo potencial destruidor. Certas condições precisariam ser atendidas para uma exploração bem-sucedida do Spring4Shell.

Notícias alarmantes sobre a nova falha geraram confusão e preocupação excessiva de que seria preciso lidar novamente com severos danos como os causados pelo Log4Shell em dezembro passado.

Como se proteger

Segundo a Microsoft, qualquer sistema usando JDK 9.0 ou versão posterior e Spring Framework ou estruturas derivadas deve ser considerado vulnerável. A empresa é uma dentre outras tantas empresas de cibersegurança, agências e pesquisadores que apresentaram listas de produtos vulneráveis ou ferramentas para detectar aplicações sujeitas à vulnerabilidade.

Por exemplo, o console de gerenciamento de ameaças e vulnerabilidades no Microsoft 365 Defender pode ajudar a detectar e reportar a ocorrência dessa vulnerabilidade. O Centro de Coordenação CERT, da Carnegie Mellon University, apresenta uma lista de fornecedores que confirmaram ter produtos vulneráveis ou sob investigação.

A própria Spring orienta como aplicar a correção necessária em seu blog com a atualização do Spring Framework abordando a falha CVE-2022-22965.