Vor einiger Zeit wurde bereits vor Log4Shell gewarnt. Nun sorgt eine weitere Schwachstelle Spring4Shell für  Unruhe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht aufgrund der Verbreitung im KRITIS-Sektor Transport und Verkehr – von einer grundsätzlichen Relevanz.

Laut Experten sind Anwendungen betroffen, die in der folgenden Konstellation betrieben werden:

  • JDK9 oder höher;
  • Apache Tomcat (kein Spring Boot);
  • Spring < 5.3.18, < 5.2.20 und alle älteren Versionen;
  • Dependency zu spring-webmvc oder spring-webflux.

Spring wird als beliebteste Open-Source-Frameworks für die Entwicklung von Java-Anwendungen benutzt. Deshalb sind viele Entwickler besorgt,  dass die Lücke weitreichende Auswirkungen in der Unternehmens-IT haben könnte.

Von der technischen Seite betrifft Spring4Shell Spring MVC- und Spring WebFlux-Anwendungen, die als WAR-Archive verpackt sind, auf Apache Tomcat-Servern bereitgestellt werden und auf JDK 9 und höher laufen. WAR ist ein beliebtes Format für die Verpackung von Java-Anwendungen und Tomcat einer der beliebtesten Java-Webserver.

Offenbar ist diese Sicherheitslücke auch in Spring Cloud Function, ein auf Spring Boot basierendes funktionales Computing-Framework, aufgetreten. Das Gefahrenpotenzial dieser Lücke wird jedoch unterschiedlich bewertet.

Was könnte man dagegen tun:

  • alle Projekte sollten auf Spring Framework 5.3.18 oder 5.2.20 aktualisiert werden, da es möglicherweise in Zukunft auch weitere Ausnutzungswege geben wird.
  • besonders dringend ist dies bei allen Projekten, die Spring als WAR in einem Tomcat ausführen.
  • das BSI empfiehlt jedem Betreiber zu überprüfen, ob die betroffenen Produkte im Einsatz sind, und die von Siemens beschriebenen Maßnahmen [SIE2022] zeitnah zu berücksichtigen. Unter Beachtung der jeweiligen Risikoabwägung sollten vorhandene Systeme schnellstmöglich auf die vom Hersteller bereitgestellten, nicht-verwundbaren Versionen aktualisiert werden.

Auf der Webseite von BSI wird die Schwachstelle Spring4Shell mit erhöhter Bedrohungslage (Stufe gelb) eingestuft. Die Produkte Siveillance Identity, SiPass integrated und Operation Scheduler der Firma Siemens sind ebenso von der Spring4Shell-Schwachstelle (CVE-2022-22965) betroffen [SIE2022]. Das BSI ist der Meinung, dass auch noch weitere IT-Komponenten für Spring4Shell anfällig sind. Deswegen wird dringend empfohlen, regelmäßig die Sicherheitshinweise von allen IT-Herstellern einzeln zu prüfen.

 

Weitere Informationen

https://www.trendmicro.com/en_us/research/22/d/cve-2022-22965-analyzing-the-exploitation-of-spring4shell-vulner.html

https://cert-portal.siemens.com/productcert/pdf/ssa-254054.pdf

IT-Sicherheit für Ihr Unternehmen

Menü

Login

Newsletter

Registriere dich für unseren Newsletter.