Ein neuer Zero-Day-Exploit im Spring-Web-Paket namens „SpringShell“ (Spitzname Spring4Shell) wurde vor kurzem entdeckt und bedroht die gesamte Cyber-Community. Die Sicherheitsforscher von JFrog führen eine detaillierte Untersuchung des Exploits durch und aktualisieren kontinuierlich ihren Blogbeitrag mit technischen Details zu diesen kritischen Schwachstellen.
Effektiver Schutz für Unternehmen
- Verwendung von gesammelten Metadaten und dem Binär-Scanning, zum Beispiel von JFrog-Xray, um jede Verwendung des SpringShell-Pakets, einschließlich transitiver Abhängigkeiten, im gesamten Inventar der in Produktion befindlichen Anwendungen zu entdecken.
- Sobald eine DevOps-Plattform Anwendungen identifiziert hat, die ein verwundbares Paket verwenden, können Entwickler den entsprechenden Quellcode aktualisieren, um eine sicherere, aktualisierte Version zu verwenden und einen neuen Build zu erstellen.
- Kontextbasierte Analysefunktionen, wie die von Xray, können alle weiteren Builds blockieren, die anfällige Versionen des SpringShell-Pakets verwenden.
Auffinden aller verwundbaren SpringShell-Pakete
Die Verwaltung aller Binärdateien und automatisiertes Scannen dieser Binärdateien auf Schwachstellen ermöglicht es schnell festzustellen, wo die SpringShell-Schwachstelle in der Software-Lieferkette vorhanden ist und Sicherheitsmaßnahmen im gesamten SDLC zu implementieren.
Kunden einer Plattform, wie der von JFrog, stehen diese Methoden zur Verfügung, um schnell festzustellen, wo die SpringShell-Schwachstelle in der Software-Lieferkette vorhanden ist und geeignete Sicherheitsmaßnahmen zu implementieren:
- Verwendung eines Reporting Tools, um alle SpringBoot-Pakete in Repos/Builds/Release Bundles/Watches zu verfolgen.
- Verwundbare Ressourcen überwachen und filtern.
- Einsetzen einer Überwachung, die bei dem Versuch, das verwundbare SpringBoot-Paket herunterzuladen, einen Alarm auslöst.
- Artifactory, eine sichere private Kubernetes-Docker-Registry, stellt eine gute Methode für die interne Abdeckung dar.
- Eine Suchfunktion hilft, alle Repositories und Namespaces mit der SpringBoot-Bibliothek zu finden.
Ein sehr detaillierte Scanvorgang bietet eine umfassende Analyse der Binärdateien in Artifactory, einschließlich transitiver Abhängigkeiten in Paketen von Drittanbietern oder Artefakten wie Uber-Jars oder Basis-Docker-Images aus einem öffentlichen Repository wie DockerHub. So können die Unternehmen gewährleisten, dass jede Verwendung eines kritisch verwundbaren Pakets wie SpringShell in einem oder allen verwendeten Repos, Builds oder Release-Bundles erkannt wird und die entsprechenden Schwachstellen behoben werden können.
Open-Source-Tool zur Behebung von Spring4Shell
Benutzer haben die Möglichkeit, in der Cloud oder Onpremise, ihre gesamte Software-Lieferkette in nur wenigen Stunden zu untersuchen und die SpringShell-Schwachstelle zu finden, zu beheben und sich abzusichern. Die Best-Practices von DevSecOps durch reichhaltiges Binärmanagement, SBOMs und SCA, ermöglicht beispielsweise durch Artifactory und Xray, helfen vielen Betroffenen diese kritischen Sicherheitslücken schnell zu schließen.
Das JFrog-Security-Research-Team hat vor kurzem zusätzlich auch ein Open-Source-Tool „scan_spring“ veröffentlicht, das von der gesamten Community verwendet werden kann, um jeden kompilierten Code (nicht nur in Artifactory) zu scannen und zu überprüfen, ob Spring-Endpunkte, die die Schwachstelle ausnutzbar machen, in der Codebasis existieren.
#JFrog