risk assessment gauge

Spring4Shell: Menilai risiko | OMS On-line

Ketika kerentanan yang signifikan seperti Spring4Shell ditemukan, bagaimana Anda menentukan apakah Anda berisiko? Layanan asuransi atau verifikasi mungkin mengharuskan Anda menjalankan pengujian eksternal pada properti net. Laporan ini sering menunjukkan eksposur palsu yang mungkin atau mungkin tidak menyebabkan lebih banyak masalah di situs net Anda. Anda harus meneliti laporan positif palsu dan memberi tahu manajemen apakah merchandise yang ditemukan adalah risiko yang dapat diterima.

Saya telah melihat positif palsu pada pemindaian eksternal karena port terbuka dan mengaitkan port itu dengan masalah yang diketahui bahkan jika layanan tidak berjalan pada port itu. Kapanpun Anda memiliki tes pena atau pemindaian kerentanan, ketahuilah bahwa Anda dapat tidak setuju dengan temuan tersebut dan jelaskan kepada peneliti bagaimana merchandise tersebut tidak membuat Anda merasa tidak aman. Namun, proses ini mengambil waktu dari tugas keamanan lainnya, dan terkadang kami setuju dengan temuan dan menemukan solusi dan mitigasi karena itu mungkin lebih cepat daripada berdebat dengan auditor.

Apakah Spring4Shell merupakan risiko nyata?

Contoh kasus: Spring4Shell tampaknya pada awalnya menjadi perhatian serius, tetapi saya tidak melihat banyak dampaknya yang signifikan. Microsoft memiliki termasuk perlindungan tambahan ke firewall aplikasi net Azure untuk eksploitasi Spring4Shell CVE-2022-22963, CVE-2022-22965 dan CVE-2022-22947.

Ketika saya ingin menilai dampak kerentanan, saya menghubungi orang lain yang saya percaya untuk membuat keputusan keamanan atau meninjau informasi yang dilaporkan tentang masalah tersebut. Dalam hal ini berita utama tampak lebih hype daripada risiko yang sebenarnya.

Inilah yang dikatakan Microsoft tentang Spring4Shell:

“Pada 31 Maret 2022, kerentanan dalam Kerangka Musim Semi untuk Java diungkapkan kepada publik. Microsoft saat ini menilai dampak yang terkait dengan kerentanan ini. Weblog ini ditujukan untuk pelanggan yang mencari perlindungan terhadap eksploitasi dan cara mendeteksi instalasi yang rentan di jaringan mereka dari kerentanan eksekusi kode jarak jauh (RCE) kritis CVE-2022-22965 (juga dikenal sebagai SpringShell atau Spring4Shell).

… “Kerangka Musim Semi adalah kerangka kerja sumber terbuka ringan yang paling banyak digunakan untuk Java. Di Java Growth Package (JDK) versi 9.0 atau yang lebih baru, penyerang jarak jauh dapat memperoleh objek AccessLogValve melalui fitur pengikatan parameter kerangka kerja dan menggunakan nilai bidang berbahaya untuk memicu mekanisme saluran dan menulis ke file di jalur arbitrer, jika kondisi tertentu bertemu.”

Di situlah letak masalahnya: Kondisi tertentu ini tampak sangat tidak biasa sehingga saya tidak melihat banyak eksploitasi yang sebenarnya. Pernyataan dari peneliti seperti Will Dormann menyarankan ini mungkin bukan masalah besar seperti yang dibuat oleh berita utama. Seperti yang dia catat, beberapa aplikasi yang terpengaruh di net secara default terpengaruh, termasuk Purple Hat JBoss Fuse 7. Meskipun memiliki pustaka Spring yang rentan, kode eksploitasi publik di net tidak berfungsi di dalamnya.

Tren Mikro telah melaporkan bahwa Spring4Shell telah digunakan dalam serangan yang ditargetkan di Singapura untuk memungkinkan penyerang menggunakan Mirai botnet malware pada sistem. Tidak jelas apakah ada kode unik untuk server net ini di Singapura atau apakah ini hanya tes untuk serangan yang lebih luas.

Respons keseluruhan terbaik untuk kerentanan baru

Apa yang harus dilakukan tim keamanan? Panik dan tambal tanpa pengujian? Merobek perangkat lunak yang berpotensi terkena dampak? Pertama, selalu tinjau sumber daya apa yang Anda miliki untuk meletakkan sesuatu di antara Anda dan web. Bahkan untuk aset yang menghadap net, setiap perangkat atau sumber daya harus memiliki sesuatu yang memfilter atau mencari pola. A firewall aplikasi net (WAF) di depan aset Anda, misalnya, akan mencari pola atau string yang tidak biasa. Sebagian besar vendor aplikasi net dapat dengan cepat menambahkan kumpulan aturan ke WAF untuk mendeteksi potensi serangan atau menyelidiki perangkat lunak yang rentan.

Respons terbaik terhadap risiko Spring4Shell

Dalam kasus Spring4Shell, pertahankan larangan atau daftar blokir di WAF untuk memblokir string yang berisi nilai seperti “class.*”, “Class.*”, “*.class.*”, dan “*.Class.*”

Selanjutnya, tinjau apakah Anda memiliki kode rentan di sistem Anda. Anda mungkin tidak menggunakan versi Java atau server Tomcat yang rentan. Spring4Shell tampaknya memengaruhi konfigurasi berikut:

  • Versi Spring Framework sebelum 5.2.20, 5.3.18, dan Java Growth Package (JDK) versi 9 atau lebih tinggi
  • Apache Tomcat
  • Ketergantungan pegas-webmvc atau pegas-webflux
  • Pengikatan parameter Spring yang dikonfigurasi untuk menggunakan tipe parameter non-dasar, seperti Objek Java Lama Biasa (POJOs)
  • Dapat digunakan, dikemas sebagai arsip aplikasi net (WAR)
  • Penerapan berbasis JAR

Terakhir, teruslah meninjau sumber daya dan informasi. Jika Anda tidak memiliki grup diskusi inner sendiri untuk menyempurnakan fakta kerentanan, Anda dapat mempelajari nuansa dan informasi lebih lanjut di situs seperti Reddit dan weblog keamanan. Mereka sering kali mengajukan pertanyaan tambahan atau bahkan solusi yang mungkin tidak terpikirkan oleh Anda dan anggota tim Anda. Jika Anda memiliki sumber daya keamanan eksternal, hubungi auditor dan pentester dan dapatkan saran dan sumber daya mereka.

Intinya: Ambil Spring4Shell dengan serius tetapi tetapkan sumber daya dengan tepat. Jangan terjebak dalam berita utama ketika Anda mungkin tidak berisiko.

Hak Cipta © 2022 IDG Communications, Inc.



Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts