Microsoft meldt “klein aantal” Spring4Shell-aanvallen tegen clouddiensten

De clouddiensten van Microsoft hebben met een “klein aantal” Spring4Shell-aanvallen te maken gekregen, zo stelt het techbedrijf. Vorige week bleek dat er een kritieke kwetsbaarheid aanwezig is in het Spring Core Framework, een veelgebruikt Java-platform voor het ontwikkelen van Java-applicaties.

Het beveiligingslek, dat de naam Spring4Shell kreeg en ook bekendstaat als CVE-2022-22965, laat een ongeauthenticeerde aanvaller willekeurige code binnen kwetsbare applicaties uitvoeren, wat afhankelijk van de rechten van de applicatie kan leiden tot de uitvoer van willekeurige code met verhoogde rechten op het onderliggende systeem.

Naar aanleiding van de impact die de Log4Shell-kwetsbaarheid vorig jaar had sloegen tal van securitybedrijven alarm. De impact van Spring4Shell lijkt vooralsnog kleiner te zijn. Microsoft stelt dat het sinds de aankondiging van Spring4Shell een “klein aantal” aanvalspogingen tegen de eigen clouddiensten heeft waargenomen. De aanvallers maken daarbij gebruik van een proof-of-concept exploit waarmee een webshell op de server kan worden geplaatst.

Volgens Microsoft wordt met CVE-2022-22965 een oplossing voor een elf jaar oude kwetsbaarheid in Spring omzeild. Via dit beveiligingslek, dat wordt aangeduid als CVE-2010-1622, is het mogelijk voor een aanvaller om een remote JAR-bestand uit te voeren. De Spring-ontwikkelaars kwamen met een oplossing, maar die is met een nieuwe feature van Java 9 genaamd Java Modules te omzeilen, zodat een aanvaller alsnog een remote bestand kan uitvoeren.

Bij de nu waargenomen aanvallen proberen de aanvallers een JSP-webshell op de server te krijgen. Met deze webshell kan een aanvaller vervolgens commando’s op de server als Tomcat uitvoeren. Microsoft heeft de eigen antivirussoftware Defender van een update voorzien om de gebruikte webshell te detecteren. Organisaties wordt daarnaast geadviseerd de beschikbare beveiligingsupdate voor Spring te installeren of de beschikbare mitigaties door te voeren.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl