Inicialmente, el 30 de marzo, se "insinuó" la primera notificación de una vulnerabilidad por el líder del equipo KnownSec 404, Heige. Este twitteó un mensaje de advertencia "Spring core RCE （JDK >=9" junto con la imagen de PoC.

Después de circular la noticia sobre la vulnerabilidad de ejecución remota de código (RCE) sin parches en Spring Framework, todos comenzaron a apresurarse para conseguir el código de explotación y la PoC. Finalmente se confirmó una vulnerabilidad Zero-Day en el módulo Spring Core de Spring Framework. Spring es mantenido por Spring.io (una subsidiaria de VMWare) y es utilizado por muchos marcos de software empresarial basados ​​en Java.

Una vez filtrado la PoC con el exploit se ha visto mucha discusión y confusión relacionada con esta vulnerabilidad porque en realidad hay tres vulnerabilidades reveladas para el proyecto Spring:

• RCE en Spring Cloud Function (menos grave), CVE-2022-22963
• Una vulnerabilidad de gravedad media (que puede causar una condición DoS) afecta a las versiones de Spring Framework 5.3.0 a 5.3.16, CVE-2022-22950
• "Spring4Shell" o RCE en Spring Core: confirmado por varias fuentes que aprovechan la inyección de clase (crítica). Esta vulnerabilidad permite que un atacante no autenticado ejecute código arbitrario en el sistema de destino.

Los usuarios que ejecutan JDK versión 9 y posteriores son vulnerables a un ataque de ejecución remota de código, debido a una omisión de CVE-2010-1622. Todas las versiones de Spring Core están afectadas por Spring4Shell y todavía no se ha publicado ningún parche. La vulnerabilidad parece afectar a las funciones que utilizan la anotación RequestMapping y los parámetros POJO (Plain Old Java Object).

En ciertas configuraciones, la explotación de este problema es sencilla, ya que solo requiere que un atacante envíe una solicitud HTTP manipulada a un sistema vulnerable. Sin embargo, la explotación de diferentes configuraciones requerirá que el atacante realice una investigación adicional para encontrar cargas útiles que sean efectivas.

Inicialmente, Praetorian confirma la presencia de un RCE en Spring Core, el enfoque recomendado actualmente es parchear DataBinder agregando una lista negra de patrones de campo vulnerables necesarios para la explotación. Después de esto, el equipo de Rapid7 también confirmó la vulnerabilidad Zero-Day Spring4Shell y proporcionó una ejecución remota de código no autenticado.

Fuente: CyberKendra