e-Xpert Solutions Lausanne
Auteur : Thomas Kündig
Date de publication : 1 avril 2022 - Dernière mise à jour : 11 avril 2022
Durant la semaine du 28 mars 2022, les vulnérabilités CVE-2022-22963 et CVE-2022-22965 ont été publiées. Ce sont deux failles critiques de type RCE non authentifié concernant des modules "Spring" utilisée dans des applications WEB basée sur JAVA.
Update 04.04.2022 : Au vu de la complexité et les conditions spécifique nécessaire à leur exploitation, il est très probable que la criticité des vulnérabilités soit revu à la baisse.
La deuxième vulnérabilité a été surnommée "Spring4Shell" en référence aux vulnérabilités de la fin d'année passée "Log4J" ou "Log4Shell".
Malgré la criticité élevée des failles, nous sommes dans une situation radicalement différente qu'avec Log4j. L'exploitation ne peut se faire qu'au travers d'applications WEB. De plus, à la différence des failles Log4j, leur exploitation se fait avec de l'injection de code java standard. Ce qui sous-entend qu'avec les bonnes configurations, la plupart des attaques devraient pouvoir être détectées par des signatures génériques déjà connues par nos WAF. Il est toutefois nécessaire de vérifier leur bonne configuration.
D'après les premières analyses, pour la CVE-2022-22963 les conditions suivante doivent être réunie pour être vulnérable:
Pour la CVE-2022-22965 :
Afin de corriger les failles, il vous faut :
Nos équipes se tiennent à votre disposition si vous souhaitez plus d’informations.
Le tableau suivant vous permettra de visualiser la mise à jour la plus récente du statut concernant la vulnérabilité des produits que nous vous proposons :
Editor | CVE-2022-22963 | CVE-2022-22965 |
---|---|---|
ALTIPEAK / Safewalk | Non vulnérable | Non vulnérable |
BACKBOX | Non vulnérable | Non vulnérable |
BeyondTrust / BOMGAR | Non vulnérable | Non vulnérable |
Broadcom / BLUECOAT |
Non vulnérable Lien |
Non vulnérable Lien |
CHECKPOINT** |
Non vulnérable Lien |
Non vulnérable Lien |
CLAVISTER | Non vulnérable | Non vulnérable |
Clearswift Secure Gateway | Non vulnérable | Non vulnérable |
ENTRUST | Non vulnérable | Non vulnérable |
F5** | Non vulnérable Lien |
Non vulnérable Lien |
FORCEPOINT | Majoritairement non vulnérable En cours d'investigation pour : CASB, Proxy WEB Cloud, F1E endpoint |
Majoritairement non vulnérable En cours d'investigation pour : CASB, Proxy WEB Cloud, F1E endpoint |
GUARDICORE** | Non vulnérable | Non vulnérable |
IDNOMIC | Non vulnérable | Non vulnérable |
LUMENSION IVANTI | En cours d'investigation | En cours d'investigation |
McAfee ePolicy Orchestrator | En cours d'investigation | En cours d'investigation |
McAfee Web Gateway | En cours d'investigation | En cours d'investigation |
Nginx+ |
Non vulnérable Lien |
Non vulnérable Lien |
PICUS | En cours d'investigation | Non vulnérable |
PROOFPOINT | En cours d'investigation | En cours d'investigation |
QUALYS | En cours d'investigation | En cours d'investigation |
Rohde Schwarz - WAF** | En cours d'investigation | En cours d'investigation |
RSA SecuriID Access |
Non vulnérable Lien |
Non vulnérable Lien |
RSA SecuriID Identity Router | Non vulnérable | Non vulnérable |
SPLUNK | En cours d'investigation | En cours d'investigation |
TOTEMO / Kiteworks | Non vulnérable | Non vulnérable |
TUFIN |
Non vulnérable Référence |
Non vulnérable Référence |
VMware Workspace ONE | Non vulnérable | Non vulnérable |
Events
Archives