Pesquisadores encontram falha no Java que pode ser tão grave quanto o Log4JShell

Poucos meses após o caos causado pela vulnerabilidade Log4JShell, uma nova falha de dia zero foi descoberta na framework do Spring Core do Java e divulgada ao público. O problema, que permite a execução de código remoto não autorizado em aplicações, está sendo chamado de Spring4Shell, em clara referência ao problema do final do ano passado

• Chefe de segurança do Github discute open source para evitar nova falha Log4j
• Apple e Meta podem ter passado dados a criminosos disfarçados de policiais

A framework Spring Core do Java é uma ferramenta popular para desenvolvedores da linguagem, permitindo que eles possam criar aplicações com funções necessárias em soluções empresariais de forma rápida e fácil; e que também podem ser lançadas em servidores, como Apache Tomcat, com todos os repositórios importantes para seu funcionamento disponibilizados em um único pacote.

Nesse contexto, a vulnerabilidade de dia zero Spring4Shell, descoberta recentemente e detalhada em sites de segurança virtual chineses, está sendo considerada perigosa pela execução de código remoto nessas aplicações criadas na framework.

A boa notícia é que, embora perigoso, especialistas de segurança, como Will Dormann, da CERT/CC, estão afirmando que para a vulnerabilidade poder ser explorada, uma série de configurações específicas devem estar estabelecidas na framework, como o uso das funções “Spring Beans” e “Spring Parameter Binding” na ferramenta.

Falha Spring4Shell já está sendo explorada em ataques

Segundo informações obtidas pelo site BleepingComputer, mesmo com as informações sobre o Spring4Shell só tendo sido divulgadas recentemente, a vulnerabilidade de dia zero já está sendo utilizada ativamente em ataques virtuais.

A recomendação geral, enquanto uma correção para a falha não é disponibilizada pela Spring, é que empresas que utilizem a framework estejam atentas a qualquer atividade estranha em suas operações, além de aplicarem requisições específicas para identificar se o sistema está com as configurações que o tornam vulnerável a vulnerabilidade — processo explicado no tweet do Randori Attack Team destacado acima.

Fonte: BleepingComputer