Na última terça-feira, dia 29 de março, um pesquisador chinês postou várias capturas de tela em sua conta no Twitter mostrando uma vulnerabilidade de execução remota de código na biblioteca Spring Core Java. Essa é uma das estruturas Java mais populares e mais utilizadas, presente em cerca de 70% de todas as aplicações Java. Portanto, qualquer problema de segurança encontrado em suas funcionalidades principais é fonte de muita preocupação.

A equipe da Salt Labs, ligada à Salt Security, empresa que há cinco anos criou e desde então lidera o mercado de segurança de API, detalha o problema, alerta quem pode ser impactado e oferece dicas para minimizar o risco de um ataque bem-sucedido, o que permitiria acessar todos os dados internos do site, incluindo possível acesso a qualquer banco de dados conectado. A brecha também permite que um invasor encontre recursos internos adicionais para obter mais permissões ou ingressar em outras partes da rede interna.

Quem é vulnerável?

Várias condições devem ser atendidas para explorar um aplicativo Java em execução. Os mais básicos são:

- Aplicativos Java executando versão Spring até 5.3.17 ou 5.2.19 (inclusive), dependendo da variante que você está executando
- Aplicações Java em execução no JDK 9 ou superior

Descrição da vulnerabilidade

A vulnerabilidade Spring4Shell está abusando de uma funcionalidade da anotação RequestMapping da Spring. A condição vulnerável ocorre quando o RequestMapping é usado em conjunto com objetos Java tradicionais (também chamados de POJO – "Plain Old Java Object") como parâmetro do manipulador. De forma simplificada: a vulnerabilidade Spring4Shell permite a injeção de objetos Java em manipuladores de solicitação legítimos, abrindo a porta para exploração do servidor.

Como proteger as aplicações Java?

A Spring anunciou um patch de emergência para essa vulnerabilidade, nas versões Primavera 5.3.18 e 5.2.20, dependendo da variante que você está usando. A equipe da Salt Labs encoraja que todos os projetos baseados em Primavera sejam atualizados para essas versões mais recentes.

Sobre a Salt Security

A Salt Security protege as APIs que formam o núcleo de todas as aplicações modernas. Sua Plataforma de Proteção de API é a primeira solução patenteada do setor para evitar a próxima geração de ataques de API, usando aprendizado de máquina e IA para identificar e proteger automaticamente e continuamente as APIs. Implantada em minutos, a plataforma Salt Security aprende o comportamento granular das APIs de uma empresa e não requer configuração ou personalização para identificar e bloquear os atacantes de API. A Salt Security foi fundada em 2016 por ex-alunos das Forças de Defesa israelenses (IDF) e executivos de empreendedores no campo da cibersegurança, estando sediada no Vale do Silício e em Israel. Para mais informações, visite https://salt.security.