Beaucoup d’entreprises ont mobilisé leur équipe de cybersécurité après la publication la semaine dernière de la faille de type zero day Spring4Shell. Capable d’exécuter du code à distance, elle touche le framework Spring, très utilisé dans le développement des applications Java. Des correctifs ont été publiés, mais la mise à jour par les développeurs de ces instances se fait à un train de sénateur.

Selon Sonatype, éditeur qui gère Maven Central, le plus grand référentiel de composants et de librairies Java, 80 % des téléchargements de Spring depuis le 31 mars, date à laquelle la faille a été confirmée, concernent toujours des versions vulnérables du framework. Si les développeurs sont lents à mettre à jour ces instances, il faut aussi mettre en perspective ce phénomène. En effet, pour que les exploits connus de Spring4Shell fonctionnent, les applications doivent remplir plusieurs conditions qui sont typiques des configurations par défaut. De même, des stratégies d'atténuation peuvent également être appliquées sans mettre à niveau le framework lui-même. Plusieurs fournisseurs ont annoncé des correctifs pour leurs solutions ou services, c’est le cas par exemple de VMware avec plusieurs déclinaisons de Tanzu touchées.

Les pirates à la manoeuvre

Pendant ce temps, l’utilisation par les cybercriminels de la faille ne faiblit et gagne même en intensité. Les chercheurs en sécurité d'Akamai ont observé des attaques avec des variantes utilisant à la fois des requêtes GET et POST, la requête GET étant plus efficace car elle permet aux attaquants d'exploiter la vulnérabilité avec une seule requête au serveur. De plus, une variante de l'exploit utilise une technique d'obscurcissement du code destinée à échapper au filtrage des entrées ou aux règles de détection appliquées par les pare-feu d'applications web (WAF). Le CERT de Deustche Telekom a signalé que des tentatives d'exploitation ont touché ses serveurs honey pot depuis le 31 mars. De son côté, Microsoft a observé une faible activité sur ses services cloud.

L’éditeur CheckPoint montre que l’activité des cybercriminels reste importante. Une organisation sur six dans le monde qui est touchée par la faille zero-day Spring4Shell a déjà été ciblée par des pirates, précise-t-il dans un article publié sur son blog. Juste sur le week-end dernier, pas moins de 37 000 attaques Spring4Shell ont été détectées. Le secteur le plus touché est celui des éditeurs de logiciels et la région la plus prisée des attaques est l’Europe.

Des outils de détection existent

Plusieurs chercheurs en sécurité et entreprises ont publié des outils gratuits qui peuvent aider à détecter les applications vulnérables, localement ou à distance. L’équipe de cybersécurité de JFrog a ainsi publié un scanner Python qui peut trouver des instances possibles de liaison de données dans les fichiers WAR et JAR. L’expert Jan Schaumann a publié lui aussi un scanner de système de fichiers similaire sous la forme d'un script shell Linux, et le spécialiste Hilko Bengen a publié un scanner écrit en Go.

Microsoft souligne qu'une application en ligne peut être testée à distance en exécutant la requête suivante à l'aide de l'outil de ligne de commande curl :

curl host:port/path?class.module.classLoader.URLs%5B0%5D=0

Le chercheur Florian Roth a publié des règles YARA qui peuvent être utilisées par les équipes sécurité pour vérifier un système en vue d'une compromission potentiellement réussie via Spring4Shell. Les règles détecteront les fichiers backdoor JSP malveillants déposés par les exploits connus. Enfin, le centre de coordination CERT de l'université Carnegie Mellon maintient une liste de fournisseurs qui ont confirmé avoir des produits vulnérables.