Verwirrung um neue Sicherheitslücke in Spring

31. März 2022, 14:37
  • security
  • lücke
  • vmware
image

In der Cybersecurity-Community sorgt seit gestern eine neu entdeckte Sicherheitslücke im Spring-Framework für grosse Aufregung. Aber wie schlimm ist diese Schwachstelle?

Am gestrigen 30. März hat ein Security-Experte auf einer chinesischen Website einen Exploit zur Ausnützung einer neu entdeckten Sicherheitslücke im Spring-Framework veröffentlicht. Der Exploit wurde schon nach kurzer Zeit wieder entfernt, aber einige andere Security-Experten hatten ihn bereits heruntergeladen. Sie bestätigten, dass er funktioniert und dass die ausgenütze Schwachstelle Angreifern erlaubt, eigenen Code in mit Spring entwickelte Apps einzuschleusen.
Spring ist ein Open-Source-Framework, das die Entwicklung von Java erleichtern soll. Es wird von sehr vielen Unternehmen verwendet.
Die Entwickler des Open-Source-Frameworks, beziehungsweise der Software-Hersteller VMware, für den die meisten von ihnen arbeiten, haben entweder sehr schnell reagiert, oder waren schon früher über die Lücke informiert worden. Sie haben bereits die neuen Spring-Versionen 5.3.18 und 5.2.20 veröffentlicht, in denen die Schwachstelle behoben ist. Für Anwender, die nicht sofort upgraden können, schildern sie mögliche Umgehungsmassnahmen.

Gefährlich, aber möglicherweise nicht viele Apps verwundbar

Nun ist in der Security-Community eine hauptsächlich via Twitter ausgefochtene Kontroverse darüber ausgebrochen, wie schwerwiegend diese neue Lücke, die schnell den Spitznamen "Spring4Shell" erhalten hat, eigentlich ist. Einige warnen, dass sie genauso schwerwiegend oder noch schlimmer sei als die im vergangenen Dezember entdeckte Lücke "Log4Shell" in der Java-Bibliothek Log4j. Begründet wird dies mit der grossen Verbreitung des Spring-Frameworks und damit, dass die Lücke auf relativ einfache Weise und über das Internet angegriffen werden kann.
Andere weisen darauf hin, dass aber nur bestimmte Nicht-Standard-Konfigurationen betroffen sind, ausserdem nur mit Java 9 oder neuer programmierte Apps und nur Applikationen, die auf Tomcat-Servern betrieben werden. Auch von gewissen für das Programmieren verwendeten Methoden hängt es ab, ob Apps betroffen sind oder nicht.

Unterschiedliche Aussagen zu Kriterien

Zu den genauen Kriterien sind wir allerdings in verschiedenen Medienberichten auf unterschiedliche Aussagen von Security-Experten gestossen. Als Spring-Anwender hält man sich hier wohl am besten an die vom Spring-Team selbst aufgelisteten Kriterien für verwundbare Apps.
Für zusätzliche Verwirrung hat auch gesorgt, dass die neue Spring-Lücke anfänglich noch keine CVE-Nummer erhalten hatte. Dies im Gegensatz zu zwei weniger schwerwiegenden Schwachstellen, die im Verlauf dieser Woche bekannt wurden, und die das Spring-Team ebenfalls bereits gepatcht hat. Diese beiden Lücken, CVE-2022-22963 und CVE-2022-22950, sollten nicht mit Spring4shell verwechselt werden. Mittlerweile hat nun auch Spring4Shell eine CVE-Nummer: CVE-2022-22965.
Was es auf jeden Fall festzuhalten gilt: Wenn eine Applikation verwundbar ist, ist die Sicherheitslücke offenbar gravierend, und Hacker werden mit grosser Sicherheit in den kommenden Tagen versuchen, verwundbare Systeme zu finden. Unternehmen und Organisationen sollte also dringend abchecken, ob von ihnen betriebene Applikationen verwundbar sein könnten und falls ja die vom Spring-Team empfohlenen Massnahmen ergreifen.


Loading

Mehr zum Thema

image

Online-Betrüger: "Kommen Sie an unseren Branchenevent"

KMU und Private werden mit Phishing- und Betrugsmails bombardiert. Das NCSC hat alle Hände voll zu tun.

publiziert am 9.12.2022
image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022
image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022