Swiss Security Hackademy

Update 04.04.2022 : Au vu de la complexité et les conditions spécifique nécessaire à leur exploitation, il est très probable que la criticité des vulnérabilités soit revu à la baisse.

La deuxième vulnérabilité a été surnommée "Spring4Shell" en référence aux vulnérabilités de la fin d'année passée "Log4J" ou "Log4Shell".

Malgré la criticité élevée des failles, nous sommes dans une situation radicalement différente qu'avec Log4j. L'exploitation ne peut se faire qu'au travers d'applications WEB. De plus, à la différence des failles Log4j, leur exploitation se fait avec de l'injection de code java standard. Ce qui sous-entend qu'avec les bonnes configurations, la plupart des attaques devraient pouvoir être détectées par des signatures génériques déjà connues par nos WAF. Il est toutefois nécessaire de vérifier leur bonne configuration.

D'après les premières analyses, pour la CVE-2022-22963 les conditions suivante doivent être réunie pour être vulnérable:

• Versions Spring Cloud Function 3.1.6, 3.2.2 et versions antérieures non supportées
• JDK >= 9

Pour la CVE-2022-22965 :

• Java Web framework Spring < 5.3.18 ou 5.2.20
• JDK >= 9
• Déploiement sur une serveur Tomcat (encore en cours de validation)
• Packaged as a traditional WAR (in contrast to a Spring Boot executable jar)
• Les dépendances spring-webmvc ou spring-webflux.

Afin de corriger les failles, il vous faut :

• CVE-2022-22965:
• versions 5.3.x : à mettre à jour avec la version 5.3.18+
• 5.2.x versions : à mettre à jour avec la version 5.2.20+

• CVE-2022-22963:
• Mettre à jour la version de Spring Cloud Function aux versions 3.1.7 ou 3.2.3.

Nos équipes se tiennent à votre disposition si vous souhaitez plus d’informations.
Le tableau suivant vous permettra de visualiser la mise à jour la plus récente du statut concernant la vulnérabilité des produits que nous vous proposons :