تتوفر التصحيحات الآن لثغرة Spring4Shell، وتواصل فرق الأمان تقييم احتمالية حدوث خلل في تنفيذ التعليمات البرمجية عن بُعد (RCE) remote code execution للتأثير على التطبيقات. ولكن حتى كتابة هذه السطور، لا يزال هناك القليل من الأدلة على انتشار المخاطر من ثغرة Spring Core التي تم الكشف عنها مؤخرًا.
يتم تشجيع المؤسسات على تقييم الموقف بأنفسهم لتحديد مستوى تعرضهم للمخاطر، وفقًا لمتخصصي الأمن بما في ذلك كريس بارتريدج Chris Partridge، الذي جمع تفاصيل حول ثغرة Spring4Shell على GitHub.
ومع ذلك، قال بارتريدج على صفحة GitHub: "حتى الآن لم يعثر أحد على دليل على انتشار هذا الأمر على نطاق واسع". "هذه ثغرة خطيرة، بالتأكيد، لكنها تؤثر فقط على الاستخدام غير الافتراضي لـ Spring Core مع عدم وجود قابلية للتطبيق على نطاق واسع. إنها بشكل قاطع لا تشبه log4shell".
Spring هو إطار شائع يستخدم في تطوير تطبيقات الويب Java.
يتم تشجيع المؤسسات على تقييم الموقف بأنفسهم لتحديد مستوى تعرضهم للمخاطر، وفقًا لمتخصصي الأمن بما في ذلك كريس بارتريدج Chris Partridge، الذي جمع تفاصيل حول ثغرة Spring4Shell على GitHub.
ومع ذلك، قال بارتريدج على صفحة GitHub: "حتى الآن لم يعثر أحد على دليل على انتشار هذا الأمر على نطاق واسع". "هذه ثغرة خطيرة، بالتأكيد، لكنها تؤثر فقط على الاستخدام غير الافتراضي لـ Spring Core مع عدم وجود قابلية للتطبيق على نطاق واسع. إنها بشكل قاطع لا تشبه log4shell".
Spring هو إطار شائع يستخدم في تطوير تطبيقات الويب Java.
التصحيحات المتاحة Patches available
في يوم الخميس، نشر Spring منشور مدونة يحتوي على تفاصيل حول التصحيحات ومتطلبات الاستغلال والحلول المقترحة لـ Spring4Shell. تشير مدونة Spring إلى أن ثغرة RCE، التي يتم تتبعها في CVE-2022-22965، تؤثر على JDK 9 أو أعلى ولديها العديد من المتطلبات الإضافية ليتم استغلالها.
من بين أمور أخرى، يؤكد منشور المدونة أن ثغرة Spring4Shell ليست Log4Shell 2.0، كما قال إيان ماكشين Ian McShane، نائب رئيس الإستراتيجية في Arctic Wolf.
"إنها RCE، لذلك فهي مخاطرة ذات أولوية عالية. قال ماكشين في رسالة بريد إلكتروني: "لكن حقيقة أنه يحتاج إلى تنفيذ غير افتراضي يجب أن يحد من النطاق، خاصة بالمقارنة مع Log4Shell".
وأشار إلى أن برنامج تسجيل الدخول Apache Log4j- الذي تأثر بثغرة Log4Shell التي تم الكشف عنها في ديسمبر- تم تضمينه في عدد لا يحصى من التطبيقات والخدمات وكان عرضة للخطر بشكل افتراضي.
Spring4Shell، على النقيض من ذلك، قال ماكشين: "لا يبدو أنه يمثل مخاطرة مماثلة. لكن هذا لا يعني أن المنظمات يمكن أن تتجاهلها". "كما هو الحال مع جميع نقاط الضعف في التطبيقات، خاصة تلك التي تواجه الإنترنت حسب التصميم، تحتاج إلى معرفة ما إذا كنت في خطر قبل أن تقوم بحسمها".
على الرغم من التسمية المماثلة لـ Log4Shell، إلا أنه من الواضح الآن أن Spring4Shell "بالتأكيد ليست كبيرة"، كما قال ساتنام نارانج Satnam Narang، مهندس أبحاث الموظفين في Tenable.
قال نارانج في رسالة بريد إلكتروني: "ومع ذلك، ما زلنا في المراحل الأولى من اكتشاف التطبيقات التي قد تكون ضعيفة، ونحن نستند في ذلك إلى ما هو معروف". "لا تزال هناك بعض علامات الاستفهام حول ما إذا كانت هناك طرق أخرى لاستغلال هذا الخلل".
في يوم الخميس، نشر Spring منشور مدونة يحتوي على تفاصيل حول التصحيحات ومتطلبات الاستغلال والحلول المقترحة لـ Spring4Shell. تشير مدونة Spring إلى أن ثغرة RCE، التي يتم تتبعها في CVE-2022-22965، تؤثر على JDK 9 أو أعلى ولديها العديد من المتطلبات الإضافية ليتم استغلالها.
من بين أمور أخرى، يؤكد منشور المدونة أن ثغرة Spring4Shell ليست Log4Shell 2.0، كما قال إيان ماكشين Ian McShane، نائب رئيس الإستراتيجية في Arctic Wolf.
"إنها RCE، لذلك فهي مخاطرة ذات أولوية عالية. قال ماكشين في رسالة بريد إلكتروني: "لكن حقيقة أنه يحتاج إلى تنفيذ غير افتراضي يجب أن يحد من النطاق، خاصة بالمقارنة مع Log4Shell".
وأشار إلى أن برنامج تسجيل الدخول Apache Log4j- الذي تأثر بثغرة Log4Shell التي تم الكشف عنها في ديسمبر- تم تضمينه في عدد لا يحصى من التطبيقات والخدمات وكان عرضة للخطر بشكل افتراضي.
Spring4Shell، على النقيض من ذلك، قال ماكشين: "لا يبدو أنه يمثل مخاطرة مماثلة. لكن هذا لا يعني أن المنظمات يمكن أن تتجاهلها". "كما هو الحال مع جميع نقاط الضعف في التطبيقات، خاصة تلك التي تواجه الإنترنت حسب التصميم، تحتاج إلى معرفة ما إذا كنت في خطر قبل أن تقوم بحسمها".
على الرغم من التسمية المماثلة لـ Log4Shell، إلا أنه من الواضح الآن أن Spring4Shell "بالتأكيد ليست كبيرة"، كما قال ساتنام نارانج Satnam Narang، مهندس أبحاث الموظفين في Tenable.
قال نارانج في رسالة بريد إلكتروني: "ومع ذلك، ما زلنا في المراحل الأولى من اكتشاف التطبيقات التي قد تكون ضعيفة، ونحن نستند في ذلك إلى ما هو معروف". "لا تزال هناك بعض علامات الاستفهام حول ما إذا كانت هناك طرق أخرى لاستغلال هذا الخلل".
صورة أكثر دقة More-accurate picture
قال مايك باركين Mike Parkin، كبير المهندسين التقنيين في Vulcan Cyber، إنه إذا كان هناك أي شيء، فإن منشور المدونة من Spring يضيق نطاق الحالات الضعيفة.
وقال باركين، من خلال توضيح الظروف القابلة للاستغلال، يعطي التحديث للمجتمع الأمني صورة أكثر دقة للمخاطر المحتملة.
قال في رسالة بريد إلكتروني: "ومع ذلك، قد يجد المهاجمون طرقًا مبتكرة للاستفادة من هذه الثغرة الأمنية خارج النطاق المستهدف المحدد". وأشار باركين إلى أنه في الوقت الحالي، لا توجد تقارير عن استغلال الثغرة الأمنية.
وافق John Bambenek، صائد التهديدات الرئيسي في Netenrich، على أن الثغرة الأمنية تؤثر على عدد أقل من الأجهزة مقارنةً بـ Log4Shell.
قال Bambenek إن هناك بعض البيئات المحددة التي قد تنطبق عليها Spring4Shell، "لكن الحالة الأكثر خطورة للأجهزة المدمجة أو التي يوفرها البائع من غير المرجح أن ترى هذه الثغرة الأمنية".
لا تزال هناك حاجة لمزيد من المعلومات More info still needed
في تحديث لمنشور مدونته حول ثغرة RCE، قال Flashpoint ووحدة الأمان المستندة إلى المخاطر أنه نظرًا لأن Spring Core عبارة عن مكتبة، "من المحتمل أن تتغير منهجية الاستغلال من مستخدم إلى مستخدم".
يقول منشور مدونة Flashpoint المحدث: "هناك حاجة إلى مزيد من المعلومات لتقييم عدد الأجهزة التي تعمل على التكوينات المطلوبة".
نشر كولين كوي Colin Cowie، محلل التهديدات في Sophos، ومحلل الثغرات ويل دورمان Will Dormann بشكل منفصل تأكيدات يوم الأربعاء، مما يدل على أنهما كانا قادرين على الحصول على ثغرة Spring4Shell للعمل ضد عينة التعليمات البرمجية التي قدمتها Spring.
قال دورمان في تغريدة: "إذا كان نموذج الكود ضعيفًا، فأنا أظن أن هناك بالفعل تطبيقات في العالم الحقيقي معرضة لـ RCE".
ومع ذلك، حتى كتابة هذه السطور، ليس من الواضح أي التطبيقات المحددة قد تكون عرضة للهجوم.
خلاصة القول هي أن Spring4Shell "بالتأكيد مدعاة للقلق - ولكن يبدو أنه من الصعب جدًا استغلالها بنجاح من Log4j"، كما قال Casey Ellis، مؤسس ورئيس قسم التكنولوجيا في Bugcrowd، في رسالة بريد إلكتروني.
على أي حال، نظرًا للحجم الكبير من الأبحاث والمناقشات حول Sping4Shell، يُنصح المدافعون بالتخفيف - و / أو التصحيح - في أقرب وقت ممكن، كما قال إليس.
قال يانيف بالماس، نائب رئيس الأبحاث في سالت سيكيوريتي، إنه من المحتمل أيضًا ظهور أشكال جديدة من هذه الثغرة الأمنية في المستقبل القريب. قال بالماس في رسالة بالبريد الإلكتروني: "يمكن أن تؤثر هذه على خوادم الويب والأنظمة الأساسية الأخرى وتوسع مدى الوصول والتأثير المحتمل لهذه الثغرة الأمنية".
