Una vulnerabilidad recientemente revelada en algunas versiones de Spring Cloud, un componente del framework Spring para Java utilizado como componente de aplicaciones web y en la nube, está siendo explotada por atacantes para ejecutar código de forma remota en los servidores que ejecutan ese framework.
La vulnerabilidad, CVE-2022-22963, se anunció el 29 de marzo, junto con la correspondiente versión actualizada del framework. La revelación llega tras otra vulnerabilidad de ejecución remota de código (CVE-2022-22947) en Spring Cloud Gateway, parcheada a principios de marzo. Como informó Paul Ducklin en Naked Security, ya hay pruebas de concepto para la nueva vulnerabilidad (CVE-2022-22963) disponibles públicamente.
https://nakedsecurity.sophos.com/2022/03/30/vmware-spring-cloud-java-bug-gives-instant-remote-code-execution-update-now/
El exploit utiliza peticiones web manipuladas basadas en Spring Expression Language (SpEL) para inyectar código Java como parte de las peticiones de Spring Cloud Function. Las versiones de prueba de concepto del exploit demuestran cómo utilizarlo para ejecutar software malicioso de forma remota en el servidor de Spring Cloud.
Cualquiera que utilice las versiones afectadas de Spring Cloud Function debe actualizar a la versión 3.1.7 o 3.2.3, dependiendo de su versión actual.
SophosLabs ha publicado una firma IPS (XG: 2306989) para dispositivos endpoint y firewall (ID) para detectar y bloquear esta vulnerabilidad. Seguimos investigando otros exploits reivindicados de Spring Core, y actualizaremos este informe cuando tengamos más detalles.