Nuevas vulnerabilidades en las bibliotecas Spring: cómo saber si está en riesgo y qué hacer al respecto.
Recientemente, las bibliotecas Spring, una de las bibliotecas más populares de la comunidad Java, revelaron dos vulnerabilidades relacionadas con la ejecución remota de código (RCE). Para ayudarle a determinar más fácilmente si está expuesto a alguna de estas vulnerabilidades y qué medidas debe tomar, hemos desglosado la información conocida sobre «Spring4Shell» y «Spring Cloud Function».
Vulnerabilidad 1 - « Spring4Shell » (CVE-42-22965)
El 29 de marzo de 2022, la comunidad descubrió una serie de tuits que contenían capturas de pantalla de una prueba de concepto de un exploit dirigido a Spring Core (SC), que permite la ejecución remota de código para todas las versiones de Spring Core, incluida la más reciente, la 5.3.17.
¿Qué aplicaciones están amenazadas?
Actualmente, solo las aplicaciones alojadas en Tomcat están confirmadas como expuestas a este nuevo exploit. Aunque no se ha demostrado que el exploit sea eficaz contra el contenedor de servlets Tomcat integrado ni contra ninguna otra aplicación no alojada en Tomcat, esto no excluye la posibilidad de que la amenaza resulte eficaz en el futuro para estos marcos.
Spring ha publicado un comunicado oficial sobre la vulnerabilidad, en el que se especifica que, según el entendimiento actual de la vulnerabilidad, deben cumplirse las siguientes condiciones para que exista vulnerabilidad:
- JDK 9 o superior
- Apache Tomcat como contenedor de servlets
- Empaquetado en forma de archivo WAR tradicional (a diferencia de un archivo jar ejecutable Spring Boot).
- dependencia spring-webmvc o spring-webflux
- Versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores de Spring Framework.
¿Cómo funciona la explotación «Spring4Shell»?
La explotación se basa en el uso del «enlace de datos» (org.springframework.web.bind.WebDataBinder) en las solicitudes que utilizan objetos Java simples (POJO) antiguos en la firma del método:
Donde la clase Foo es una clase POJO, que podría definirse de la siguiente manera. Tenga en cuenta que la clase en sí misma no es importante, siempre y cuando sea cargada por el cargador de clases.
Cuando una solicitud se procesa mediante un método como este, se utiliza el cargador de clases para resolver la clase. El cargador de clases se encarga de cargar las clases en el momento de la ejecución, sin tener que precargar previamente todos los tipos posibles en la memoria. Determina qué archivo .jar cargar cuando se utiliza una nueva clase.
Puede encontrar la información más reciente y detallada sobre esta vulnerabilidad directamente en Spring, en su entrada de blog, incluyendo posibles correcciones o soluciones alternativas.
Vulnerabilidad 2: función Spring Cloud (CVE-249 22963)
El 27 de marzo de 2022, Cyber Kendra divulgó información sobre una vulnerabilidad de ejecución remota de código (RCE) de día cero en Spring Cloud Functions para la que no existía ningún parche. A la vulnerabilidad se le asignó el ID CVE-04-22963: Vulnerabilidad de acceso a recursos en Spring Expression.
¿Qué aplicaciones están amenazadas?
La vulnerabilidad afectó a las aplicaciones en las siguientes condiciones:
- JDK 9 o versión posterior
- Spring Cloud Functions versión 3.1.6 (o inferior), 3.2.2 (o inferior) o cualquier versión no compatible.
¿Cómo funciona la explotación?
Spring Cloud Function permite a los desarrolladores configurar la forma en que se gestiona el enrutamiento a través de la propiedad spring.cloud.function.routing-expression, normalmente mediante la configuración o el código. Se trata de una potente funcionalidad que admite el «Spring Expression Language» (SPel). Gracias a esta vulnerabilidad de día cero, hemos descubierto que esta propiedad se puede definir a través de los encabezados HTTP de una solicitud, lo que significa que un atacante puede integrar código SPEL directamente en su solicitud HTTP a un punto final RoutingFunction y, de este modo, ejecutar código arbitrario.
¿Qué medidas deben tomar los usuarios para mitigar los riesgos?
Le printemps ha publicado las versiones 3.1.7 y 3.2.3 para resolver este problema, no permitiendo la definición de esta propiedad a través de encabezados HTTP, lo que mitiga la vulnerabilidad. Después de actualizar a cualquiera de las dos versiones, no es necesario realizar ningún paso adicional.
¿Desea obtener más información sobre cómo ayudamos a los desarrolladores a escribir código más seguro? Reserve una demostración o explore nuestras directrices de codificación segura gratuitas en coach de code sécurisé.
Fuentes
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Recientemente, las bibliotecas Spring, una de las bibliotecas más populares de la comunidad Java, revelaron dos vulnerabilidades relacionadas con la ejecución remota de código (RCE). Hemos detallado la información conocida sobre «Spring4Shell» y «Spring Cloud Function» para ayudarle a comprender si está en riesgo y qué hacer en caso afirmativo.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Recientemente, las bibliotecas Spring, una de las bibliotecas más populares de la comunidad Java, revelaron dos vulnerabilidades relacionadas con la ejecución remota de código (RCE). Para ayudarle a determinar más fácilmente si está expuesto a alguna de estas vulnerabilidades y qué medidas debe tomar, hemos desglosado la información conocida sobre «Spring4Shell» y «Spring Cloud Function».
Vulnerabilidad 1 - « Spring4Shell » (CVE-42-22965)
El 29 de marzo de 2022, la comunidad descubrió una serie de tuits que contenían capturas de pantalla de una prueba de concepto de un exploit dirigido a Spring Core (SC), que permite la ejecución remota de código para todas las versiones de Spring Core, incluida la más reciente, la 5.3.17.
¿Qué aplicaciones están amenazadas?
Actualmente, solo las aplicaciones alojadas en Tomcat están confirmadas como expuestas a este nuevo exploit. Aunque no se ha demostrado que el exploit sea eficaz contra el contenedor de servlets Tomcat integrado ni contra ninguna otra aplicación no alojada en Tomcat, esto no excluye la posibilidad de que la amenaza resulte eficaz en el futuro para estos marcos.
Spring ha publicado un comunicado oficial sobre la vulnerabilidad, en el que se especifica que, según el entendimiento actual de la vulnerabilidad, deben cumplirse las siguientes condiciones para que exista vulnerabilidad:
- JDK 9 o superior
- Apache Tomcat como contenedor de servlets
- Empaquetado en forma de archivo WAR tradicional (a diferencia de un archivo jar ejecutable Spring Boot).
- dependencia spring-webmvc o spring-webflux
- Versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores de Spring Framework.
¿Cómo funciona la explotación «Spring4Shell»?
La explotación se basa en el uso del «enlace de datos» (org.springframework.web.bind.WebDataBinder) en las solicitudes que utilizan objetos Java simples (POJO) antiguos en la firma del método:
Donde la clase Foo es una clase POJO, que podría definirse de la siguiente manera. Tenga en cuenta que la clase en sí misma no es importante, siempre y cuando sea cargada por el cargador de clases.
Cuando una solicitud se procesa mediante un método como este, se utiliza el cargador de clases para resolver la clase. El cargador de clases se encarga de cargar las clases en el momento de la ejecución, sin tener que precargar previamente todos los tipos posibles en la memoria. Determina qué archivo .jar cargar cuando se utiliza una nueva clase.
Puede encontrar la información más reciente y detallada sobre esta vulnerabilidad directamente en Spring, en su entrada de blog, incluyendo posibles correcciones o soluciones alternativas.
Vulnerabilidad 2: función Spring Cloud (CVE-249 22963)
El 27 de marzo de 2022, Cyber Kendra divulgó información sobre una vulnerabilidad de ejecución remota de código (RCE) de día cero en Spring Cloud Functions para la que no existía ningún parche. A la vulnerabilidad se le asignó el ID CVE-04-22963: Vulnerabilidad de acceso a recursos en Spring Expression.
¿Qué aplicaciones están amenazadas?
La vulnerabilidad afectó a las aplicaciones en las siguientes condiciones:
- JDK 9 o versión posterior
- Spring Cloud Functions versión 3.1.6 (o inferior), 3.2.2 (o inferior) o cualquier versión no compatible.
¿Cómo funciona la explotación?
Spring Cloud Function permite a los desarrolladores configurar la forma en que se gestiona el enrutamiento a través de la propiedad spring.cloud.function.routing-expression, normalmente mediante la configuración o el código. Se trata de una potente funcionalidad que admite el «Spring Expression Language» (SPel). Gracias a esta vulnerabilidad de día cero, hemos descubierto que esta propiedad se puede definir a través de los encabezados HTTP de una solicitud, lo que significa que un atacante puede integrar código SPEL directamente en su solicitud HTTP a un punto final RoutingFunction y, de este modo, ejecutar código arbitrario.
¿Qué medidas deben tomar los usuarios para mitigar los riesgos?
Le printemps ha publicado las versiones 3.1.7 y 3.2.3 para resolver este problema, no permitiendo la definición de esta propiedad a través de encabezados HTTP, lo que mitiga la vulnerabilidad. Después de actualizar a cualquiera de las dos versiones, no es necesario realizar ningún paso adicional.
¿Desea obtener más información sobre cómo ayudamos a los desarrolladores a escribir código más seguro? Reserve una demostración o explore nuestras directrices de codificación segura gratuitas en coach de code sécurisé.
Fuentes
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Recientemente, las bibliotecas Spring, una de las bibliotecas más populares de la comunidad Java, revelaron dos vulnerabilidades relacionadas con la ejecución remota de código (RCE). Para ayudarle a determinar más fácilmente si está expuesto a alguna de estas vulnerabilidades y qué medidas debe tomar, hemos desglosado la información conocida sobre «Spring4Shell» y «Spring Cloud Function».
Vulnerabilidad 1 - « Spring4Shell » (CVE-42-22965)
El 29 de marzo de 2022, la comunidad descubrió una serie de tuits que contenían capturas de pantalla de una prueba de concepto de un exploit dirigido a Spring Core (SC), que permite la ejecución remota de código para todas las versiones de Spring Core, incluida la más reciente, la 5.3.17.
¿Qué aplicaciones están amenazadas?
Actualmente, solo las aplicaciones alojadas en Tomcat están confirmadas como expuestas a este nuevo exploit. Aunque no se ha demostrado que el exploit sea eficaz contra el contenedor de servlets Tomcat integrado ni contra ninguna otra aplicación no alojada en Tomcat, esto no excluye la posibilidad de que la amenaza resulte eficaz en el futuro para estos marcos.
Spring ha publicado un comunicado oficial sobre la vulnerabilidad, en el que se especifica que, según el entendimiento actual de la vulnerabilidad, deben cumplirse las siguientes condiciones para que exista vulnerabilidad:
- JDK 9 o superior
- Apache Tomcat como contenedor de servlets
- Empaquetado en forma de archivo WAR tradicional (a diferencia de un archivo jar ejecutable Spring Boot).
- dependencia spring-webmvc o spring-webflux
- Versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores de Spring Framework.
¿Cómo funciona la explotación «Spring4Shell»?
La explotación se basa en el uso del «enlace de datos» (org.springframework.web.bind.WebDataBinder) en las solicitudes que utilizan objetos Java simples (POJO) antiguos en la firma del método:
Donde la clase Foo es una clase POJO, que podría definirse de la siguiente manera. Tenga en cuenta que la clase en sí misma no es importante, siempre y cuando sea cargada por el cargador de clases.
Cuando una solicitud se procesa mediante un método como este, se utiliza el cargador de clases para resolver la clase. El cargador de clases se encarga de cargar las clases en el momento de la ejecución, sin tener que precargar previamente todos los tipos posibles en la memoria. Determina qué archivo .jar cargar cuando se utiliza una nueva clase.
Puede encontrar la información más reciente y detallada sobre esta vulnerabilidad directamente en Spring, en su entrada de blog, incluyendo posibles correcciones o soluciones alternativas.
Vulnerabilidad 2: función Spring Cloud (CVE-249 22963)
El 27 de marzo de 2022, Cyber Kendra divulgó información sobre una vulnerabilidad de ejecución remota de código (RCE) de día cero en Spring Cloud Functions para la que no existía ningún parche. A la vulnerabilidad se le asignó el ID CVE-04-22963: Vulnerabilidad de acceso a recursos en Spring Expression.
¿Qué aplicaciones están amenazadas?
La vulnerabilidad afectó a las aplicaciones en las siguientes condiciones:
- JDK 9 o versión posterior
- Spring Cloud Functions versión 3.1.6 (o inferior), 3.2.2 (o inferior) o cualquier versión no compatible.
¿Cómo funciona la explotación?
Spring Cloud Function permite a los desarrolladores configurar la forma en que se gestiona el enrutamiento a través de la propiedad spring.cloud.function.routing-expression, normalmente mediante la configuración o el código. Se trata de una potente funcionalidad que admite el «Spring Expression Language» (SPel). Gracias a esta vulnerabilidad de día cero, hemos descubierto que esta propiedad se puede definir a través de los encabezados HTTP de una solicitud, lo que significa que un atacante puede integrar código SPEL directamente en su solicitud HTTP a un punto final RoutingFunction y, de este modo, ejecutar código arbitrario.
¿Qué medidas deben tomar los usuarios para mitigar los riesgos?
Le printemps ha publicado las versiones 3.1.7 y 3.2.3 para resolver este problema, no permitiendo la definición de esta propiedad a través de encabezados HTTP, lo que mitiga la vulnerabilidad. Después de actualizar a cualquiera de las dos versiones, no es necesario realizar ningún paso adicional.
¿Desea obtener más información sobre cómo ayudamos a los desarrolladores a escribir código más seguro? Reserve una demostración o explore nuestras directrices de codificación segura gratuitas en coach de code sécurisé.
Fuentes
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Recientemente, las bibliotecas Spring, una de las bibliotecas más populares de la comunidad Java, revelaron dos vulnerabilidades relacionadas con la ejecución remota de código (RCE). Para ayudarle a determinar más fácilmente si está expuesto a alguna de estas vulnerabilidades y qué medidas debe tomar, hemos desglosado la información conocida sobre «Spring4Shell» y «Spring Cloud Function».
Vulnerabilidad 1 - « Spring4Shell » (CVE-42-22965)
El 29 de marzo de 2022, la comunidad descubrió una serie de tuits que contenían capturas de pantalla de una prueba de concepto de un exploit dirigido a Spring Core (SC), que permite la ejecución remota de código para todas las versiones de Spring Core, incluida la más reciente, la 5.3.17.
¿Qué aplicaciones están amenazadas?
Actualmente, solo las aplicaciones alojadas en Tomcat están confirmadas como expuestas a este nuevo exploit. Aunque no se ha demostrado que el exploit sea eficaz contra el contenedor de servlets Tomcat integrado ni contra ninguna otra aplicación no alojada en Tomcat, esto no excluye la posibilidad de que la amenaza resulte eficaz en el futuro para estos marcos.
Spring ha publicado un comunicado oficial sobre la vulnerabilidad, en el que se especifica que, según el entendimiento actual de la vulnerabilidad, deben cumplirse las siguientes condiciones para que exista vulnerabilidad:
- JDK 9 o superior
- Apache Tomcat como contenedor de servlets
- Empaquetado en forma de archivo WAR tradicional (a diferencia de un archivo jar ejecutable Spring Boot).
- dependencia spring-webmvc o spring-webflux
- Versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores de Spring Framework.
¿Cómo funciona la explotación «Spring4Shell»?
La explotación se basa en el uso del «enlace de datos» (org.springframework.web.bind.WebDataBinder) en las solicitudes que utilizan objetos Java simples (POJO) antiguos en la firma del método:
Donde la clase Foo es una clase POJO, que podría definirse de la siguiente manera. Tenga en cuenta que la clase en sí misma no es importante, siempre y cuando sea cargada por el cargador de clases.
Cuando una solicitud se procesa mediante un método como este, se utiliza el cargador de clases para resolver la clase. El cargador de clases se encarga de cargar las clases en el momento de la ejecución, sin tener que precargar previamente todos los tipos posibles en la memoria. Determina qué archivo .jar cargar cuando se utiliza una nueva clase.
Puede encontrar la información más reciente y detallada sobre esta vulnerabilidad directamente en Spring, en su entrada de blog, incluyendo posibles correcciones o soluciones alternativas.
Vulnerabilidad 2: función Spring Cloud (CVE-249 22963)
El 27 de marzo de 2022, Cyber Kendra divulgó información sobre una vulnerabilidad de ejecución remota de código (RCE) de día cero en Spring Cloud Functions para la que no existía ningún parche. A la vulnerabilidad se le asignó el ID CVE-04-22963: Vulnerabilidad de acceso a recursos en Spring Expression.
¿Qué aplicaciones están amenazadas?
La vulnerabilidad afectó a las aplicaciones en las siguientes condiciones:
- JDK 9 o versión posterior
- Spring Cloud Functions versión 3.1.6 (o inferior), 3.2.2 (o inferior) o cualquier versión no compatible.
¿Cómo funciona la explotación?
Spring Cloud Function permite a los desarrolladores configurar la forma en que se gestiona el enrutamiento a través de la propiedad spring.cloud.function.routing-expression, normalmente mediante la configuración o el código. Se trata de una potente funcionalidad que admite el «Spring Expression Language» (SPel). Gracias a esta vulnerabilidad de día cero, hemos descubierto que esta propiedad se puede definir a través de los encabezados HTTP de una solicitud, lo que significa que un atacante puede integrar código SPEL directamente en su solicitud HTTP a un punto final RoutingFunction y, de este modo, ejecutar código arbitrario.
¿Qué medidas deben tomar los usuarios para mitigar los riesgos?
Le printemps ha publicado las versiones 3.1.7 y 3.2.3 para resolver este problema, no permitiendo la definición de esta propiedad a través de encabezados HTTP, lo que mitiga la vulnerabilidad. Después de actualizar a cualquiera de las dos versiones, no es necesario realizar ningún paso adicional.
¿Desea obtener más información sobre cómo ayudamos a los desarrolladores a escribir código más seguro? Reserve una demostración o explore nuestras directrices de codificación segura gratuitas en coach de code sécurisé.
Fuentes
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Índice
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
