Hace unos meses, la vulnerabilidad Log4Shell, que afectaba a la librería open source Apache Log4j (y con ella, a casi todas las grandes plataformas web), causó una oleada de preocupación en la industria tecnológica y llegó a provocar una reunión en la Casa Blanca que tomar medidas con respecto al modo en que se estaban planteando el mantenimiento de software crítico para la infraestructura de Internet.

Ahora, una nueva vulnerabilidad ‘zero day’, conocida como ‘Spring4Shell’, acaba de salir a la luz, y algunos expertos afirman que podría tener “un impacto mayor” que el que tuvo Log4Shell en su momento. Bueno, técnicamente se trata de dos vulnerabilidades: ‘Spring4Shell’ propiamente dicha, también conocida como CVE-2022-22965, y una vulnerabilidad menor llamada CVE-2022-22963.

Spring4Shell afecta a las aplicaciones desarrolladas con el framework Spring, creado con el fin de agilizar la creación de software con Java. Como en el caso de Log4Shell, su existencia se hizo pública tras ser descubierta la vulnerabilidad por un investigador de ciberseguridad chino que difundió un exploit de prueba en varios tuits ya eliminados.

The “vulnerable code” in Spring is creating a “deep clone” of an object by serializing and then deserializing it. In Java, any attempts to deserialize an object can result in RCE if an attacker is able to control the data being passed. More info in link https://t.co/J2RA1jd9G4

— LunaSec (@LunaSecIO) March 30, 2022

¿Qué dicen los expertos?

Anthony Weems y Dallas Kaman, expertos de la firma de seguridad Pretorian, en declaraciones a Developer Tech, explicaron que,

“En ciertas configuraciones, la explotación de este problema resulta sencilla, ya que sólo requiere que un atacante envíe una solicitud HTTP especialmente diseñada a un sistema vulnerable”.

“Sin embargo, la explotación de diferentes configuraciones requeriría que el atacante realizase una investigación adicional para encontrar cargas útiles que resulten efectivas”.

Según la investigación publicada por LunaSec, todas las versiones de Spring Core lanzadas antes de conocerse la vulnerabilidad pueden verse afectadas si los usuarios ejecutan JDK 9 o superior.

Desde otra compañía del sector, Contrast Security Labs, afirman que esta vulnerabilidad —que permite al atacante llevar a cabo ataques basados en la ejecución arbitraria de código— podría tener “un impacto mayor que Log4j” debido al modo en que manejan el ‘binding’ las aplicaciones creadas con el mencionado framework (el 74% de las desarrolladas en Java, aunque otras fuentes hablan del 60% o del 86%):

“Recomendamos a los desarrolladores de Java que establezcan específicamente la propiedad de campos permitidos o establezcan correctamente los campos no permitidos para los patrones de ataque malicioso conocidos dentro de la clase DataBinder”.

Por fortuna, los desarrolladores de Spring Framework han lanzado ya actualizaciones a las versiones 5.3.18 y 5.2.20 (más información aquí), por lo que los desarrolladores podrán parchear sus frameworks y recompilar las aplicaciones afectadas. Por desgracia, las aplicaciones que se encuentran en producción y sin mantenimiento, seguirán siendo vulnerables.