Una vulnerabilità recentemente rivelata in alcune versioni di Spring Cloud, un componente del framework Spring per Java utilizzato come elemento di applicazioni cloud e web, viene ora sfruttata dagli aggressori per eseguire codice in remoto sui server che usano il framework.
La vulnerabilità, CVE-2022-22963, è stata annunciata il 29 marzo, insieme a una corrispondente versione aggiornata del framework. La divulgazione arriva sulla scia di un’altra vulnerabilità legata all’esecuzione di codice in modalità remota (CVE-2022-22947) in Spring Cloud Gateway, corretta all’inizio di marzo. Come riportato da Paul Ducklin di Sophos, esistono già proof-of-concept di exploit per la nuova vulnerabilità.
L’exploit utilizza richieste Web predisposte basate su Spring Expression Language (SpEL) per iniettare codice Java come parte delle richieste di Spring Cloud Function. Le versioni proof-of-concept dell’exploit dimostrano come utilizzare l’exploit per eseguire software dannoso in remoto sul server Spring Cloud.
Chiunque utilizzi le versioni interessate di Spring Cloud Function deve eseguire l’aggiornamento alla versione 3.1.7 o 3.2.3, a seconda della versione corrente.
I SophosLabs hanno rilasciato una signature IPS (XG: 2306989) per i dispositivi endpoint e firewall (ID) per rilevare e bloccare questa vulnerabilità. Continuiamo a indagare su altri presunti exploit di Spring Core e aggiorneremo questo report non appena saranno disponibili maggiori dettagli.
Informazioni sull’impatto di questa vulnerabilità sui prodotti Sophos sono disponibili in questo articolo. Al momento, nessun prodotto Sophos è coinvolto.