​​Встречайте, Spring4Shell. Правда, если сравнивать обнаруженную RCE в Java Spring Framework с Log4Shell, эффект которой можно назвать бомбой, то новая 0-Day скорее всего на этом фоне будет выглядеть как связка петард.

Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.

Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.

По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.

Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением. 

Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.

Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.

Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.

В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему. 

По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.

Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.

Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.

Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.

ISACA в марте выпустила интересный и объемный отчет о состоянии дел в сфере кибербезопасности. Рассказали об уровне подготовки кадров, образовании, бюджетах, киберугрозах и ожиданиях.

Главные выводы:
🔶 У 63% опрошенных организаций имеются сложности с закрытием вакансий по направлению КБ.

🔶 60% организаций сообщают, что испытывают проблемы с удержанием специалистов по КБ.

🔶 Софт-скиллы и облачные вычисления - проблема у современных специалистов по КБ.

🔶 Все чаще организации не обращают внимание на наличие высшего образования в области КБ.

🔶 42% опрошенных заявили, что удовлетворены финансированием программ КБ, а 55% ожидают увеличения бюджетов.

🔶 82% респондентов говорят, что руководство видит ценность в проведении оценки рисков, но только 41% организаций проводит ежегодную оценку киберрисков.

🔶 Только 51% опрошенных допускает, что их компания столкнется с кибератаками в будущем. Оптимистичненько...

По сообщению одного из клиентов (компании Trezor), сервис Mailchimp был скомпрометирован со стороны инсайдера.

https://www.fxempire.com/news/article/trezor-issues-data-breach-warning-as-users-cite-phishing-attacks-957001

Вышла версия 1.0 бесплатного EDR от автора SigmaRules (Флориана Рота).

The Aurora agent is a Sigma-based endpoint agent that offers maximum transparency, flexibility, and confidentiality. It doesn’t require an additional kernel driver but uses the native Event Tracing for Windows (ETW).

https://www.nextron-systems.com/2022/04/04/aurora-lite-agent-v1-0-release/

The National Cybersecurity Center of Excellence (NCCoE) has released two new final publications: Special Publication (SP) 800-40 Revision 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology and SP 1800-31, Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways.

https://csrc.nist.gov/publications/detail/sp/800-40/rev-4/final

https://csrc.nist.gov/publications/detail/sp/1800-31/final

Если мы обычно придерживались правила золотых 72 часов, то случае со Spring4Shell об этом определенно стоит забыть.
 
Попытки эксплуатации были предприняты в первые же дни сразу после обнаружения серьезной уязвимости RCE, отслеживаемой как CVE-2022-22965. Еще до того, как были выпущены исправления.
 
Еще одним критическим недостатком является CVE-2022-22963, которая влияет на функцию Spring Cloud, а также позволяет удаленно выполнять код. Третьей дырой в безопасности является CVE-2022-22950, DoS-уязвимость средней степени опасности.
 
Согласно данным телеметрии Check Point, только за прошедшие выходные было обнаружено 37 000 атак Spring4Shell. При этом почти каждая шестая организация во всем мире, затронутая уязвимостью нулевого дня Spring4Shell, уже стала мишенью злоумышленников. На первом месте по числу жертв - Европа, на которую приходится 20%.
 
Наиболее пострадавшими оказались разработчики программного обеспечения, на долю которых приходится 28% от общего числа инцидентов, потенциально из-за того, что они являются отличными целями для атак на цепочку поставок.
 
Пока разработчики повсеместно заняты оценкой влияния Spring4Shell на свои продукты, злоумышленники предпринимают активные попытки воспользоваться существующими возможностями RCE в отношении уязвимых систем полным ходом. К настоящему моменту эксплойты доступны как для Spring4Shell, так и для CVE-2022-22963.
 
Поставщик выпустил версии Spring Framework 5.3.18 и 5.2.20, а также Spring Boot 2.5.12, которые успешно решают проблему RCE, а также меры по смягчению. Поэтому настоятельно рекомендуется выполнить обновление до этих версий или более поздних версий, не забывая при этом о CVE-2022-22963 и CVE-2022-22947 в Spring Cloud Function и Spring Cloud Gateway.

Для CISO тоже актуально .

Наконец добрались до отличного исследования школы Сколково про то, что лидеры делали за последние полтора месяца со своими компаниями, командами, и главное – с собой.

Не будем долго останавливаться на стратегических и операционных шагах, которые предпринимали руководители компаний. Перестройка цепочек поставок, финансовых потоков, работа с регуляторами и подобные штуки важны - вот только HR в них принимает участие в основном по касательной.

Но одну вещь все-таки отметим, и она про управление собой и внутренним заказчиком.
Опрошенные Сколково лидеры примерно поровну делятся на тех, кто в кризис предпочитает некоторое время ничего не делать и осмотреться, и на тех, кто развивает активность, чтобы срочно все непоправимо улучшить.

Забавно, что, если почитать исследование дальше и добраться до собственно практик управления собой, то можно сделать вывод, что и для тех, и для других – это не столько осознанное решение, сколько рационализация механизмов, позволяющих справиться с собственным стрессом.

Если говорить совсем просто, то одни лучше справляются с ужасом, когда много работают, а вторые – когда не работают совсем. Безусловно, для разных индустрий и разных состояний компаний (например, в зависимости от того, есть ли у компании резервы, чтобы ничего не делать, несмотря на потери) эта ситуация может быть разной. Но на относительно больших числах разница между количеством тех, кто «в домике» и тех, кто «скорей бежим, а то все вкусное съедят» оказывается в пределах статистической погрешности.

HR, как функция, про которую обычно вспоминают в кризис, с этими двумя типами внутреннего заказчика справляется по разному – и мы слышали от наших источников полный спектр жалоб на руководителя.
От «свалил(а) на несколько недель в Дубаи и не выходил на связь, а мне отдуваться перед людьми» до «я уже месяц сдерживаю безумные порывы руководства в разных направлениях, типа они тут гипотезы проверяют, а я страдай».

Мы посылаем лучи поддержки и тем, и другим, а заодно всем, кто где-то между этими двумя экстремумами на шкале, потому что многие люди в HR сейчас чувствуют себя героем бородатой глупой шутки про «мужчины любят женщин, женщины – детей, дети – хомячков, а хомячки никого не любят!».
В том смысле, что сотрудники могут пойти за поддержкой к руководителям, те – к топам, топы идут к эйчарам, а к кому пойти эйчару за сочувствием, заботой и решением своих проблем – подчас непонятно.

Отчетик, приложенный в следующем посте содержит полный комплекс практик по само- и взаимовосстановлению, если вы еще вдруг не успели прийти в себя. Или по дальнейшему укреплению общего эмоционального состояния, если успели.