Was ist Spring4Shell

Was ist Spring4Shell?

Während sich die digitale Welt nach dem Log4Shell-Disaster gerade wieder erholte, wird die Lage durch eine neue Cybersecurity-Bedrohung gefährdet. Die Sorgen beziehen sich auf Spring4Shell. Spring4Shell ist eine Schwachstelle im Spring-Core-Java-Framework von VMWare. Spring ist ein sehr beliebtes Framework, auf das 60 % der Java-Entwickler bei der Erstellung ihrer Anwendungen angewiesen sind. Aufgrund der Dominanz des Frameworks im Java-Ökosystem könnten viele Anwendungen von dem Spring4Shell-Zero-Day betroffen sein. In unserem Artikel „Was ist Zero-Day“ erfährst du genauer, was hinter dem Begriff steckt.

Im Vergleich dazu wird das Log4J-Framework von fast allen Java-basierten Webanwendungen und Cloud-Diensten verwendet. Obwohl Spring4Shell als kritische Schwachstelle eingestuft wird, ist sie dennoch deutlich weniger gefährlich als Log4Shell. Die Spring4Shell-Schwachstelle wird unter der Bezeichnung CVE-2022-22965 geführt.

Wie wirkt sich Spring4Shell aus?

Um die potenziellen Auswirkungen von Spring4Shell zu verstehen, ist es hilfreich zu wissen, wie das Spring-Core-Java-Framework funktioniert. Spring Core (oft mit Spring abgekürzt) vereinfacht die Abfrage von Parametern auf einem Apache Tomcat- oder Java-Server. Mit anderen Worten: Spring erleichtert das Schreiben und Testen von Code, indem es Entwicklern ermöglicht, Benutzeranfragen auf Java-Objekte abzubilden.

Die Spring4Shell-Schwachstelle ermöglicht es Angreifern, das auszunutzen und macht alle verbundenen Anwendungen anfällig für Remote Code Execution (RCE). Remote Code Injection ist eine Form des Cyberangriffs, bei der Hacker aus der Ferne bösartigen Code in einen kompromittierten Rechner einschleusen. Ein RCE-Angriff kann einfach durch das Senden einer bösartigen Anfrage an einen Webserver erfolgen, der auf einer anfälligen Spring-Version läuft.

Sobald der RCE-Angriffsvektor etabliert ist, eröffnet er zahlreiche Möglichkeiten für weitere Cyberangriffe, darunter:

• Zugriff auf alle internen Website-Daten
• Zugriff auf alle Backend-Ressourcen der Website
• Zugriff auf alle vernetzten Datenbanken
• Zugriff auf Ressourcen, die private Anmeldeinformationen enthalten

Ist Spring4Shell genauso gefährlich wie Log4Shell?

Der Hauptunterschied zwischen Log4Shell und Spring4Shell ist, dass die meisten Log4j-Benutzer nicht wussten, dass sie von der Sicherheitslücke betroffen sind. Log4j wird oft tief in eine Anwendung integriert, weil es eine Komponente ist, die in anderen Tools und Bibliotheken des Java-Entwicklungsprozesses eingesetzt wird. Spring4Shell hingegen ist nicht so leicht zu verstecken. Spring ist ein Entwicklungsframework, sodass die Benutzer leicht erkennen können, ob sie von der Sicherheitslücke betroffen sind.

Der andere Grund, warum Spring4Shell nicht so gefährlich ist wie Log4Shell, ist, dass mehrere Bedingungen erfüllt sein müssen, damit Spring4Shell ausnutzbar ist.

Laut Spring sind folgende Konfigurationen anfällig:

• JDK 9 oder neuer
• Abhängigkeiten zwischen spring-webmvc oder spring-webflux
• Apache Tomcat für die Bereitstellung der Anwendung
• Spring Framework-Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19 und ältere Versionen
• Verpackt als traditionelle WAR

Mit Log4shell kannst du jeden Java-Code zum Herunterladen und Ausführen zwingen. Bei Spring4Shell musst du mit den Java-Klassen arbeiten, die bereits auf dem Server vorhanden sind. Derzeit erfordert der einzige bekannte Exploit, dass Tomcat mit Spring läuft, da die Tomcat Logging-Java-Klassen für einen Angriff verwendet werden können. Das könnte sich ändern, wenn sich bestätigt, dass Spring4Shell auch in anderen Serverumgebungen ausgenutzt werden kann.

Das kannst du tun, wenn du von Spring4Shell betroffen bist

Die beste Reaktion ist ein Upgrade auf die neuesten gepatchten Spring Framework Versionen – 5.3.18 und 5.2.20. Wenn ein Upgrade nicht möglich ist, kannst du den von Spring vorgeschlagenen Workaround-Prozess befolgen. Auch wenn du nicht alle Bedingungen für eine Ausnutzung erfüllst, wird ein Upgrade auf die neuesten Spring-Versionen dringend empfohlen.

Selbst wenn die aktuelle Sicherheitslücke auf Tomcat-Servern auftritt, bedeutet das nicht, dass der Zero-Day auf diese Umgebung beschränkt ist. Spring4Shell ist immer noch eine neue Schwachstelle, sodass es andere Methoden zur Ausnutzung geben kann, die noch nicht entdeckt worden sind. Mit einem Update auf die neuesten Spring-Versionen hast du die besten Chancen, dich zu schützen, falls weitere Methoden zur Ausnutzung der Schwachstelle entdeckt werden.

Allgemein kannst du auch mit dem Bedrohungsschutz von NordVPN für mehr Sicherheit und Privatsphäre sorgen. Das Feature blockiert für dich gefährliche Webseiten, die bekannterweise Schadsoftware hosten. Außerdem werden Tracker und gezielte Werbung abgewehrt.