เร่งอัพแพตซ์แก้ Spring4Shell ทันที
19 เมษายน 2565
ช่องโหว่ CVE-2022-22965 หรือที่รู้จักกันในนาม
#Spring4Shell เป็นช่องโหว่ที่มีความรุนแรงสูงส่งผลกระทบกับ Spring Framework ตั้งแต่รุ่น 5.3.0 – 5.3.17 และรุ่น 5.2.0 – 5.2.19 รวมถึงรุ่นก่อนหน้านี้ที่ยุติให้การสนับสนุนไปแล้ว โดยแนะนำให้ผู้ใช้งานอัพเกรดเป็นรุ่น 5.3.18+ และ 5.2.20+ โดยเร็วที่สุด
Spring Framework คือ Java Framework ที่ให้การสนับสนุนด้านโครงสร้าง (Infrastructure) ในการพัฒนาเว็บแอพพลิเคชั่น ซึ่งล่าสุดปรากฏช่องโหว่ที่ส่งผลกระทบกับ Spring MVC (model-view-controller) และ Spring WebFlux ซึ่งรันบน JDK 9+
ทั้งนี้ ในการโจมตีจำเป็นต้องรันแอพพลิเคชั่นบน Tomcat ในลักษณะ WAR Deployment แต่หากใช้งานในลักษณะ Spring Boot Executable jar ซึ่งเป็นค่าเริ่มต้น (Default) กลับไม่ปรากฏช่องโหว่ที่จะยึดครองระบบได้ อย่างไรก็ตาม ยังไม่อาจนิ่งนอนใจได้เนื่องจากยังมีอาจแนวทางการโจมตีเกิดขึ้นได้ในอนาคต
ไซเบอร์ตรอนวิเคราะห์ผลกระทบ และแนวทางที่ใช้ช่องโหว่ Spring4Shell ได้ ดังนี้
ผลกระทบอาจเกิดกับ Web Server ที่ใช้ Java Spring Framework ใน Application Java JDK (Java Development Kit) Version ที่ต่ำกว่า Version 9 ที่ใช้ในการพัฒนา Web Site
การโจมตีจะเป็นการโจมตีประเภท Remote Code Execution (RCE) การโจมตีการเรียกใช้โค้ดจากระยะไกล ซึ่งจะทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลบนคอมพิวเตอร์ได้ ผลกระทบของช่องโหว่ RCE อาจมีตั้งแต่การเรียกใช้มัลแวร์ไปจนถึงผู้โจมตีที่เข้าควบคุมเครื่องที่ถูกบุกรุกได้อย่างเต็มที่
เป้าหมาย คือ เว็บไซต์ที่มีการใช้งานในลักษณะ Public Internet Facing (เว็ปที่เข้าถึงได้จากอินเทอร์เน็ต)
ล่าสุดแพตซ์ฉุกเฉิน ได้ประกาศออกมาในเวลาเดียวกันกับที่มีการเผยโค๊ด PoC จากช่องโหว่ CVE-2022-22965 บน GitHub เมื่อวันที่ 30 มีนาคม 2565 ก่อนที่จะถูกลบออกในเวลาต่อมา อย่างไรก็ตาม ยังมีผู้ใช้งานบางส่วนมองเห็นและแชร์ข้อมูลดังกล่าวออกไปอย่างรวดเร็ว จนผู้เชี่ยวชาญด้านความมั่นคงซึ่งได้ตรวจสอบและยืนยันแล้วว่าสามารถนำไปใช้โจมตีผ่านช่องโหว่ดังกล่าวได้จริง
นอกจากนี้ ผู้ดูแลระบบจึงควรมีการจัดลำดับความสำคัญในการใช้งาน รวมถึงการอัปเดตในส่วนของโปรแกรมรักษาความปลอดภัยอยู่สม่ำเสมอ และมีการบันทึกข้อมูลหรือรายงานการใช้งาน เพื่อเป็นแนวทางในการป้องกันต่อไป