Vulnerablità Critica su Spring Data REST

 

Proto: N020318.

Con la presente Yoroi desidera informarLa riguardo al recente rilascio di dettagli tecnici relativamente ad una importante vulnerabilità all’interno del componente “Spring Data REST”  del noto Framework Spring, una tra le principali tecnologie utilizzate per lo sviluppo di applicazioni web basate su piattaforma Java/JavaEE.  La criticità è nota con l’identificativo CVE-2017-8046.

La problematica è originata da gravi lacune durante l’interpretazione di richieste utente che utilizzano il linguaggio proprietario “SpEL” all’interno delle componenti “Spring Data REST”, attraverso le quali un attaccante di rete in grado di inviare un apposito messaggio JSON verso le API REST vulnerabili può eseguire codice arbitrario all’interno del server vittima, compromettendone la sicurezza ed accedendo abusivamente alle risorse in esso contenute.

Il Produttore ha confermato la problematica attraverso un apposito bollettino di sicurezza, nel quale risultano afflitte le seguenti componenti del framework:

  • “Spring Data REST” versioni minori di 2.5.12, 2.6.7, 3.0 RC3
  • “Spring Boot” versioni minori di 2.0.0M4
  • “Spring Data” release train Kay-RC3

Al momento non sono noti tentativi di attacco ai danni della vulnerabilità in oggetto, tuttavia visto il largo utilizzo del Framework Spring, la potenziale diffusione di interfacce REST basate su Spring DATA e la disponibilità di dettagli tecnici relativi alla criticità, Yoroi consiglia caldamente di verificare la presenza di componenti Spring vulnerabili e pianificare l’applicazione degli aggiornamenti di sicurezza all’interno delle Vostre infrastrutture applicative, con priorità su servizi web basati sul Framework Spring esposti al pubblico.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index