Spring4Shell
Spring4Shell-Sicherheitslücke versetzt Unternehmen in Alarmbereitschaft
Die neue Sicherheitslücke Spring4Shell, die das weit verbreitete Spring-Java-Framework betrifft, lässt befürchten, dass Unternehmen mit einer ähnlichen Schwachstelle wie Log4Shell zu kämpfen haben könnten.
Spring, ein Unternehmen von VMware, wurde als das weltweit beliebteste Java-Framework bezeichnet. Es wurde entwickelt, um die Geschwindigkeit und Produktivität zu erhöhen, indem die Java-Programmierung vereinfacht wird. Ein chinesischer Forscher veröffentlichte am Mittwoch, den 30. März einen Proof-of-Concept (PoC) für eine Schwachstelle in der Remote-Code-Ausführung, die das Core-Modul von Spring beeinträchtigt und versetzte damit Cybersicherheits-Verantwortliche in höchste Alarmbereitschaft. Der veröffentlichte PoC-Exploit funktioniert zwar, aber nur bei bestimmten Konfigurationen und Versionen von Java 9 und neuer. Es ist noch unklar, wie viele Anwendungen tatsächlich für Angriffe anfällig sind.
Laut Spring machen diese Eigenschaften Konfigurationen anfällig:
- JDK 9 oder höher
- Apache Tomcat für die Bereitstellung der Anwendung
- Verpackt als traditionelle WAR (im Gegensatz zu einem ausführbaren Spring Boot Jar)
- Abhängigkeiten spring-webmvc oder spring-webflux
- Spring Framework-Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und ältere Versionen
„Die Schwachstelle ist allgemeiner Natur, und es ist denkbar, dass diese auf noch andere bisher nicht gemeldete Wege ausgenutzt werden kann. IT-Sicherheitsteams können besser auf Bedrohungen durch Spring4Shell reagieren und die allgemeine Sicherheitslage im Unternehmen verbessern, indem sie sämtliche Assets im Netzwerk kennen und wissen, welche davon von dieser und anderen kritischen Schwachstellen betroffen sein können“, sagt Matt Hubbard, Director, Market Intelligence bei Armis . „Das richtige Asset-Management, bessere IT-Hygiene und die Erkennung von und Reaktion auf Bedrohungen können vor diesen Schwachstellen schützen.“
