ช่องโหว่ Zero-Day ตัวใหม่ใน Java Spring Framework ทำให้เกิดการโจมตีด้วย Remote code execution ได้

มีการเปิดเผยข้อมูลของช่องโหว่ Zero-day ตัวใหม่ใน Spring Core Java framework ที่มีชื่อว่า 'Spring4Shell' ซึ่งทำให้ผู้โจมตีสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ได้โดยไม่ต้องมีการตรวจสอบสิทธิ์บนแอปพลิเคชัน

Spring เป็น Application framework ยอดนิยมที่ช่วยให้นักพัฒนาซอฟต์แวร์พัฒนาแอปพลิเคชัน Java ได้อย่างรวดเร็ว แอปพลิเคชันเหล่านี้สามารถนำไปใช้งานบนเซิร์ฟเวอร์ เช่น Apache Tomcat ในลักษณะ Stand-alone packages ได้

โดยเมื่อวานนี้ (29 มีนาคม 2022) ได้มีการเปิดเผยช่องโหว่ของ Spring Cloud Function ซึ่งมีหมายเลขช่องโหว่คือ CVE-2022-22963 โดยคาดว่าน่าจะมี POC Exploit ถูกปล่อยตามออกมาในเร็วๆนี้

อย่างไรก็ตาม มีการพบข้อมูลเกี่ยวกับช่องโหว่ Remote code execution ของ Spring Core ที่ร้ายแรงกว่านั้นถูกเผยแพร่ใน QQ chat service และเว็บไซต์ด้าน Cybersecurity ของจีนในเวลาต่อมา

ในวันนี้ (30 มีนาคม 2022) Exploit code ของช่องโหว่ Zero-Day ดังกล่าวได้ถูกปล่อยออกมาในช่วงระยะเวลาหนึ่งก่อนที่จะถูกลบออกไป แต่นักวิจัยด้านความปลอดภัยทางไซเบอร์บางคนสามารถดาวน์โหลดโค้ดไว้ได้ทัน และในเวลาต่อมานักวิจัยด้านความปลอดภัยทางไซเบอร์และบริษัทรักษาความปลอดภัยจำนวนมากได้ยืนยันว่าข้อมูลช่องโหว่นั้นถูกต้อง และเป็นเรื่องที่น่ากังวลอย่างมาก

(more…)