Spring ได้ออกแพตซ์อัปเดตเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-day remote code execution ของ 'Spring4Shell' ซึ่งก่อนหน้านี้มีข้อมูลรายละเอียดของช่องโหว่ และโค้ดที่ใช้การโจมตีถูกปล่อยออกมา ก่อนที่จะมีแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว
เมื่อวานนี้ (30 มีนาคม 2022) มีการพบ exploit code ที่ใช้สำหรับโจมตีช่องโหว่ remote code execution ใน Spring Framework ที่มีชื่อว่า 'Spring4Shell' มีการเผยแพร่อยู่บน GitHub และได้ถูกลบออกไปแล้ว อย่างไรก็ตามข้อมูลได้ถูกแชร์ออกไปอย่างรวดเร็ว และได้มีการทดสอบโดยนักวิจัยด้านความปลอดภัย ซึ่งยืนยันว่าสามารถใช้ในการโจมตีได้จริง
Spring ได้ออกคำแนะนำด้านความปลอดภัยโดยแจ้งว่าช่องโหว่นี้ (CVE-2022-22965) จะส่งผลกระทบต่อแอปพลิเคชัน Spring MVC และ Spring WebFlux ใน JDK 9
การโจมตีช่องโหว่ดังกล่าวต้องใช้ Apache Tomcat, แอปพลิเคชันแพ็คเกจ WAR และ "spring-webmvc หรือ spring-webflux" dependencies
ช่องโหว่ดังกล่าวส่งผลกระทบกับแอปพลิเคชัน Spring MVC และ Spring WebFlux ที่ทำงานบน JDK 9+ ซึ่งการโจมตีจะสำเร็จได้ก็ต่อเมื่อ แอปพลิเคชันที่ทำงานบน Tomcat ที่ถูกติดตั้งในรูปแบบ WAR
หากแอปพลิเคชันถูกติดตั้งเป็น Jar เป็นค่าเริ่มต้น จะไม่มีความเสี่ยงต่อการถูกโจมตี อย่างไรก็ตามช่องโหว่ดังกล่าวมีรายละเอียดที่ค่อนข้างกว้าง และอาจมีวิธีอื่นในการใช้ประโยชน์จากช่องโหว่ดังกล่าว
Spring กล่าวว่า ได้รับทราบข้อมูลของช่องโหว่ดังกล่าว และกำลังดำเนินการตรวจสอบตั้งแต่วันอังคารที่ 29 มีนาคม 2022 จาก odeplutos, meizjm3i จาก AntGroup FG และพวกเขากำลังพัฒนา และทดสอบแพตซ์สำหรับแก้ไขช่องโหว่ ซึ่งคาดว่าจะปล่อยให้อัพเดทได้ในวันที่ 31 มีนาคม 2022
อย่างไรก็ตาม หลังจากที่นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดทั้งหมดเมื่อวันที่ 30 มีนาคม 2022 ที่ผ่านมา จึงทำให้ทาง Spring ต้องรีบออกแพตช์แก้ไขอย่างเร่งด่วนก่อนที่จะมีการปล่อยอัพเดทตามแผนที่วางไว้
Spring เวอร์ชันที่จะได้รับการอัพเดทแพตช์เพื่อแก้ไขช่องโหว่ตามด้านล่าง ยกเว้น Spring Boot on Maven Central
Spring Framework 5.3.18 และ Spring Framework 5.2.20
Spring Boot 2.5.12
Spring Boot 2.6.6 (แพตซ์ยังไม่ถูกปล่อย คาดว่าน่าจะออกอัปเดตภายในไม่กี่ชั่วโมงข้างหน้า)
แม้ว่าช่องโหว่ดังกล่าวจะต้องมี Requirements บางอย่างจึงจะทำให้ถูกโจมตีได้สำเร็จ แต่ Will Dormann นักวิเคราะห์ช่องโหว่ที่ CERT/CC พบว่าโค้ดตัวอย่างจาก spring[.]io เองก็มีช่องโหว่ และเนื่องจากนักพัฒนามักใช้โค้ดตัวอย่างเป็นเทมเพลตสำหรับแอปของตนเอง อาจมีแอปที่มีช่องโหว่จำนวนมากที่เข้าถึงได้จาก Internet
ผู้ดูแลระบบ Spring ควรอัปเดตแพตซ์โดยเร็วที่สุด เนื่องจากพบว่ามีการเริ่ม Scan หาช่องโหว่ Spring4Shell แล้ว และมีรายงานเกี่ยวกับช่องโหว่นี้กำลังถูกนำไปใช้โจมตีเป็นจำนวนมาก
ที่มา : spring bleepingcomputer