{"id":28407,"date":"2022-04-07T12:52:25","date_gmt":"2022-04-07T10:52:25","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28407"},"modified":"2022-04-07T12:52:25","modified_gmt":"2022-04-07T10:52:25","slug":"spring4shell-critical-vulnerability-in-spring-java-framework","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/spring4shell-critical-vulnerability-in-spring-java-framework\/28407\/","title":{"rendered":"Spring4Shell: Kritische Schwachstelle im Java-Framework Spring"},"content":{"rendered":"

Forscher haben eine kritische Schwachstelle (CVE-2022-22965<\/u><\/a>) im Open-Source-Framework der Java-Plattform \u201eSpring\u201c entdeckt. Details \u00fcber die Sicherheitsl\u00fccke sickerten bereits an die \u00d6ffentlichkeit durch, bevor die offizielle Ank\u00fcndigung und im selben Zuge die entsprechenden Patches ver\u00f6ffentlicht wurden.<\/p>\n

Die Sicherheitsl\u00fccke zog sofort die Aufmerksamkeit von Spezialisten f\u00fcr Informationssicherheit auf sich, da sie potenziell eine ernsthafte Bedrohung f\u00fcr viele Webanwendungen darstellt. In Anlehnung an die gehypte Zero-Day-L\u00fccke Log4Shell<\/u><\/a> wurde die neu entdeckte Schwachstelle Spring4Shell genannt.<\/p>\n

Die Entwickler des VMware-Spring-Frameworks haben bereits Patches f\u00fcr anf\u00e4llige Anwendungen ver\u00f6ffentlicht. Allen Unternehmen, die die Spring-Framework-Versionen 5.3 und 5.2 verwenden, empfehlen wir deshalb, umgehend auf die Versionen 5.3.18 oder 5.2.20 zu aktualisieren.<\/p>\n

Was ist Spring4Shell & warum ist die Schwachstelle so gef\u00e4hrlich?<\/h2>\n

Die Schwachstelle geh\u00f6rt zur Kategorie \u201eRCE\u201c (Remote Code Execution<\/em>) und erm\u00f6glicht Angreifern die Remote-Ausf\u00fchrung von Schadcode. Dem Bewertungssystem CVSS v3.0<\/a> zufolge liegt der Schweregrad der Sicherheitsl\u00fccke derzeit bei 9,8\/10 und betrifft Spring MVC- und Spring WebFlux-Anwendungen, die unter Java Development Kit Version 9 oder h\u00f6her ausgef\u00fchrt werden.<\/p>\n

Forscher meldeten VMware die entdeckte Schwachstelle in der Nacht zum Dienstag, doch bereits am Mittwoch wurde auf GitHub ein Proof-of-Concept<\/em> f\u00fcr die Schwachstelle ver\u00f6ffentlicht. Zwar wurde der PoC<\/em> schnell entfernt, jedoch erst, als Sicherheitsexperten darauf aufmerksam wurden. Es ist mehr als unwahrscheinlich, dass ein Exploit mit diesem Kaliber von Cyberkriminellen unbemerkt geblieben ist.<\/p>\n

Das Spring-Framework ist bei Java-Entwicklern sehr beliebt, was bedeutet, dass potenziell viele Anwendungen von der Schwachstelle betroffen sein k\u00f6nnten. Laut einem Beitrag von Bleeping Computer<\/a> k\u00f6nnten Spring4Shell-anf\u00e4llige Java-Anwendungen zur Kompromittierungsursache f\u00fcr eine Vielzahl von Servern werden. Demselben Beitrag zufolge wird die Schwachstelle bereits aktiv von Cyberkriminellen ausgenutzt.<\/p>\n

Weitere technische Details sowie Kompromittierungsindikatoren f\u00fcr die Spring4Shell-Exploits k\u00f6nnen Sie in unserem Blogbeitrag auf Securelist<\/a> nachlesen. Im selben Beitrag finden Sie ebenfalls Details zu einer weiteren kritischen Schwachstelle im Spring-Java-Framework (CVE-2022-22963).<\/p>\n

\u00a0<\/p>\n

Exploit der Schwachstelle Spring4Shell<\/h2>\n

Die einzige zum Zeitpunkt der Ver\u00f6ffentlichung bekannte Spring4Shell-Exploit-Methode erfordert ein Zusammenspiel verschiedener Faktoren. F\u00fcr einen erfolgreichen Exploit m\u00fcssten die folgenden Komponenten auf der angegriffenen Seite verwendet werden:<\/p>\n