Java: Exploit für RCE-Lücke in Spring geleakt

Unter Umständen reicht ein HTTP-Request, um Spring-Anwendungen eine Webshell unterzujubeln. Die Lücke wird wohl bereits ausgenutzt.

Artikel veröffentlicht am ,
Spring nutzt ein Blatt als Logo.
Spring nutzt ein Blatt als Logo. (Bild: Pixabay)

Der Exploit für eine Lücke in dem Java-Framework Spring Core wurde für kurze Zeit öffentlich verteilt. Der Exploit kann dazu genutzt werden, Code in Spring-Anwendungen auszuführen und fremde Server zu übernehmen. Diese sogenannte Remote-Code-Execution (RCE) wurde von verschiedenen Sicherheitsforschern bestätigt, die die Lücke (CVE-2022-22965) in Anlehnung an Log4Shell Spring4Shell nennen. Ob der Fehler aber wirklich so weitreichende Auswirkungen hat wie Log4Shell, bleibt abzuwarten.

Stellenmarkt
  1. Senior Projekt Manager mit Schwerpunkt Projekt Support (m/w/d)
    BWI GmbH, München
  2. IT Systemadministrator Windows (m/w/d)
    GGEW GRUPPEN- GAS- UND ELEKTRIZITÄTSWERK BERGSTRASSE AKTIENGESELLSCHAFT, Bensheim
Detailsuche

Ursprung des Exploits ist wohl der chinesische Chat-Service QQ sowie auch eine IT-Security-Webseite in China, wie das Magazin Bleeping Security berichtet. Auch auf Twitter wurde der Exploit verteilt.

Die Sicherheitsforscher von Rapid7 verweisen als erste Veröffentlichung auf einen Beitrag auf Github. Ein Update zu der Lücke gibt es bisher noch nicht, auch eine CVE-Nummer wurde wohl noch nicht vergeben.

Die Spring4Shell genannte Lücke betrifft den Ausführungen von Rapid7 oder auch Lunasec zufolge alle Spring-Versionen von mindestens 4.3 bis einschließlich der aktuellen Version 5.3.15 sowie die Nutzung in Verbindung mit dem JDK ab Version 9. Mit älteren JDK-Versionen, insbesondere dem noch unterstützten JDK 8, soll sich die Lücke nicht ausnutzen lassen.

Beispielcode ausnutzbar

Golem Akademie
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    07.-09.06.2022, Virtuell
Weitere IT-Trainings

Weiter heißt es in den Analysen, dass eine Standardkonfiguration von Spring nicht verwendbar sei, sondern dafür einige Voraussetzungen erfüllt sein müssten. Verwundbar sind demnach Anwendungen, die die Request-Mapping-Annotation in Verbindung mit Pojo-Paramentern (Plain Old Java Object) verwenden.

Laut dem Unternehmen Praetorian muss ein verfügbarer Endpunkt die Data-Binder-Klasse verwenden, was heißt, dass Daten aus einem Post-Request automatisch dekodiert werden. Hinzu kommen Voraussetzungen an die Umgebung der App selbst.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

So funktioniert der Exploit nur mit Apache Tomcat, nicht aber, wenn die Spring-Anwendungen in einem Embedded Servlet Container läuft. Letztlich könnte über die Lücke jedoch eine Webshell per HTTP-Request auf einem angegriffenen Server installiert werden.

Der Analyst beim Cert/CC, Will Dormann, wies darauf hin, dass die Spring-Dokumentation explizit vor derartigen Konfigurationen warne, und zeigte sich skeptisch in Bezug auf die praktische Anwendbarkeit des Exploits sowie verwundbare Anwendungen. Später revidierte Dormann seine Einschätzung jedoch, und bestätigte selbst, dass Beispielcode des Spring-Projekts für den Umgang mit Formularen verwundbar sei. Inzwischen mehren sich auch Berichte über aktive Angriffe.

Bis ein Patch verfügbar ist, empfehlen die genannten Sicherheitsunternehmen als Vorkehrungsmaßnahme unter anderem Controller-Regeln für die Spring-Anwendung, die das Angriffsmuster erkennen und ausfiltern soll. Auch werden Regeln für eine Web Application Firewall empfohlen und es sind bereits Yara-Regeln verfügbar, die ein mögliches Ausnutzen der Lücke erkennen sollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Raspberry Pi
Besser gießen mit Raspi und Xiaomi-Pflanzensensor

Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
Eine Anleitung von Thomas Hahn

Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
Artikel
  1. Emirates Telecommunications Group: Abu Dhabi wird größter Anteilseigner von Vodafone
    Emirates Telecommunications Group
    Abu Dhabi wird größter Anteilseigner von Vodafone

    Für 4,4 Milliarden US-Dollar hat Emirates Telecommunications Group 10 Prozent an Vodafone erworben. Der staatliche Konzern ist bekannt für seine Internet-Inhaltefilter.

  2. Bundesländer: Umweltminister einig über Autobahn-Tempolimit
    Bundesländer
    Umweltminister einig über Autobahn-Tempolimit

    Die Landesumweltminister der Bundesländer haben sich einstimmig für ein Tempolimit auf Autobahnen ausgesprochen. Was fehlt, ist dessen Höhe.

  3. Lex Netflix: Netflix und Co. müssen in der Schweiz investieren
    Lex Netflix
    Netflix und Co. müssen in der Schweiz investieren

    In der Schweiz wurde dafür gestimmt, dass Streaminganbieter wie Netflix einen Umsatzanteil aus dem Land in Schweizer Produktionen investieren müssen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 46% Rabatt auf Mäuse & Tastaturen • Grafikkarten günstig wie nie (u. a. RTX 3080Ti 12GB 1.285€) • Samsung SSD 1TB (PS5-komp.) günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsangebote bei MediaMarkt • Bosch Prof. bis zu 53% günstiger[Werbung]
    •  /