Ein neuer Zero-Day-Exploit im Spring-Web-Paket namens „SpringShell“ (Spitzname Spring4Shell) wurde vor kurzem entdeckt und bedroht die gesamte Cyber-Community. Die Sicherheitsforscher von JFrog führen eine detaillierte Untersuchung des Exploits durch und aktualisieren kontinuierlich ihren Blogbeitrag mit technischen Details zu diesen kritischen Schwachstellen.
Effektiver Schutz für Unternehmen
- Verwendung von gesammelten Metadaten und dem Binär-Scanning, zum Beispiel von JFrog Xray, um jede Verwendung des SpringShell-Pakets, einschließlich transitiver Abhängigkeiten, im gesamten Inventar der in Produktion befindlichen Anwendungen zu entdecken.
- Sobald eine DevOps-Plattform Anwendungen identifiziert hat, die ein verwundbares Paket verwenden, können Entwickler den entsprechenden Quellcode aktualisieren, um eine sicherere, aktualisierte Version zu verwenden und einen neuen Build zu erstellen.
- Kontextbasierte Analysefunktionen, wie die von Xray, können alle weiteren Builds blockieren, die anfällige Versionen des SpringShell-Pakets verwenden.
Auffinden aller verwundbaren SpringShell-Pakete
Die Verwaltung aller Binärdateien und automatisiertes Scannen dieser Binärdateien auf Schwachstellen ermöglicht es schnell festzustellen, wo die SpringShell-Schwachstelle in der Software-Lieferkette vorhanden ist und Sicherheitsmaßnahmen im gesamten SDLC zu implementieren.
Kunden einer Plattform, wie der von JFrog, stehen diese Methoden zur Verfügung, um schnell festzustellen, wo die SpringShell-Schwachstelle in der Software-Lieferkette vorhanden ist und geeignete Sicherheitsmaßnahmen zu implementieren:
- Verwendung eines Reporting Tools, um alle SpringBoot-Pakete in Repos/Builds/Release Bundles/Watches zu verfolgen.
- Verwundbare Ressourcen überwachen und filtern.
- Einsetzen einer Überwachung, die bei dem Versuch, das verwundbare SpringBoot-Paket herunterzuladen, einen Alarm auslöst.
- Artifactory, eine sichere private Kubernetes-Docker-Registry, stellt eine gute Methode für die interne Abdeckung dar.
- Eine Suchfunktion hilft, alle Repositories und Namespaces mit der SpringBoot-Bibliothek zu finden.
Ein sehr detaillierte Scanvorgang bietet eine umfassende Analyse der Binärdateien in Artifactory, einschließlich transitiver Abhängigkeiten in Paketen von Drittanbietern oder Artefakten wie Uber Jars oder Basis-Docker-Images aus einem öffentlichen Repository wie DockerHub. So können die Unternehmen gewährleisten, dass jede Verwendung eines kritisch verwundbaren Pakets wie SpringShell in einem oder allen verwendeten Repos, Builds oder Release-Bundles erkannt wird und die entsprechenden Schwachstellen behoben werden können.
Open-Source-Tool zur Behebung von Spring4Shell
Benutzer haben die Möglichkeit, in der Cloud oder On-Premise, ihre gesamte Software-Lieferkette in nur wenigen Stunden zu untersuchen und die SpringShell-Schwachstelle zu finden, zu beheben und sich abzusichern. Die Best Practices von DevSecOps durch reichhaltiges Binärmanagement, SBOMs und SCA, ermöglicht beispielsweise durch Artifactory und Xray, helfen vielen Betroffenen diese kritischen Sicherheitslücken schnell zu schließen.
Das JFrog Security Research Team hat vor kurzem zusätzlich auch ein Open-Source-Tool „scan_spring“ veröffentlicht, das von der gesamten Community verwendet werden kann, um jeden kompilierten Code (nicht nur in Artifactory) zu scannen und zu überprüfen, ob Spring-Endpunkte, die die Schwachstelle ausnutzbar machen, in der Codebasis existieren.
