Pesquisadores encontram falha no Java que pode ser tão grave quanto o Log4JShell
Poucos meses após o caos causado pela vulnerabilidade Log4JShell, uma nova falha de dia zero foi descoberta na framework do Spring Core do Java e divulgada ao público. O problema, que permite a execução de código remoto não autorizado em aplicações, está sendo chamado de Spring4Shell, em clara referência ao problema do final do ano passado.
Nesse contexto, a vulnerabilidade de dia zero Spring4Shell, descoberta recentemente e detalhada em sites de segurança virtual chineses, está sendo considerada perigosa pela execução de código remoto nessas aplicações criadas na framework.
A boa notícia é que, embora perigoso, especialistas de segurança, como Will Dormann, da CERT/CC, estão afirmando que para a vulnerabilidade poder ser explorada, uma série de configurações específicas devem estar estabelecidas na framework, como o uso das funções “Spring Beans” e “Spring Parameter Binding” na ferramenta.
Falha Spring4Shell já está sendo explorada em ataques.
Segundo informações obtidas pelo site BleepingComputer, mesmo com as informações sobre o Spring4Shell só tendo sido divulgadas recentemente, a vulnerabilidade de dia zero já está sendo utilizada ativamente em ataques virtuais.
A recomendação geral, enquanto uma correção para a falha não é disponibilizada pela Spring, é que empresas que utilizem a framework estejam atentas a qualquer atividade estranha em suas operações, além de aplicarem requisições específicas para identificar se o sistema está com as configurações que o tornam vulnerável a vulnerabilidade — processo explicado no tweet do Randori Attack Team destacado acima.
Fonte: BleepingComputer/CanalTech.