Schritt-für-Schritt-Anleitung zur Behebung der Spring4Shell-Schwachstellen

Ein neuer Zero-Day-Exploit im Spring-Web-Paket namens „SpringShell“ (Spitzname Spring4Shell) wurde vor kurzem entdeckt und bedroht die gesamte Cyber-Community. Die Sicherheitsforscher von JFrog führen eine detaillierte Untersuchung des Exploits durch und aktualisieren kontinuierlich ihren Blogbeitrag mit technischen Details zu diesen kritischen Schwachstellen.

 

Effektiver Schutz für Unternehmen 

  • Verwendung von gesammelten Metadaten und dem Binär-Scanning, zum Beispiel von JFrog-Xray, um jede Verwendung des SpringShell-Pakets, einschließlich transitiver Abhängigkeiten, im gesamten Inventar der in Produktion befindlichen Anwendungen zu entdecken.
  • Sobald eine DevOps-Plattform Anwendungen identifiziert hat, die ein verwundbares Paket verwenden, können Entwickler den entsprechenden Quellcode aktualisieren, um eine sicherere, aktualisierte Version zu verwenden und einen neuen Build zu erstellen.
  • Kontextbasierte Analysefunktionen, wie die von Xray, können alle weiteren Builds blockieren, die anfällige Versionen des SpringShell-Pakets verwenden.

 

Auffinden aller verwundbaren SpringShell-Pakete

Die Verwaltung aller Binärdateien und automatisiertes Scannen dieser Binärdateien auf Schwachstellen ermöglicht es schnell festzustellen, wo die SpringShell-Schwachstelle in der Software-Lieferkette vorhanden ist und Sicherheitsmaßnahmen im gesamten SDLC zu implementieren.

Kunden einer Plattform, wie der von JFrog, stehen diese Methoden zur Verfügung, um schnell festzustellen, wo die SpringShell-Schwachstelle in der Software-Lieferkette vorhanden ist und geeignete Sicherheitsmaßnahmen zu implementieren:

  • Verwendung eines Reporting Tools, um alle SpringBoot-Pakete in Repos/Builds/Release Bundles/Watches zu verfolgen.
  • Verwundbare Ressourcen überwachen und filtern.
  • Einsetzen einer Überwachung, die bei dem Versuch, das verwundbare SpringBoot-Paket herunterzuladen, einen Alarm auslöst.
  • Artifactory, eine sichere private Kubernetes-Docker-Registry, stellt eine gute Methode für die interne Abdeckung dar.
  • Eine Suchfunktion hilft, alle Repositories und Namespaces mit der SpringBoot-Bibliothek zu finden.

Ein sehr detaillierte Scanvorgang bietet eine umfassende Analyse der Binärdateien in Artifactory, einschließlich transitiver Abhängigkeiten in Paketen von Drittanbietern oder Artefakten wie Uber-Jars oder Basis-Docker-Images aus einem öffentlichen Repository wie DockerHub. So können die Unternehmen gewährleisten, dass jede Verwendung eines kritisch verwundbaren Pakets wie SpringShell in einem oder allen verwendeten Repos, Builds oder Release-Bundles erkannt wird und die entsprechenden Schwachstellen behoben werden können.

 

Open-Source-Tool zur Behebung von Spring4Shell

Benutzer haben die Möglichkeit, in der Cloud oder Onpremise, ihre gesamte Software-Lieferkette in nur wenigen Stunden zu untersuchen und die SpringShell-Schwachstelle zu finden, zu beheben und sich abzusichern. Die Best-Practices von DevSecOps durch reichhaltiges Binärmanagement, SBOMs und SCA, ermöglicht beispielsweise durch Artifactory und Xray, helfen vielen Betroffenen diese kritischen Sicherheitslücken schnell zu schließen.

Das JFrog-Security-Research-Team hat vor kurzem zusätzlich auch ein Open-Source-Tool „scan_spring“ veröffentlicht, das von der gesamten Community verwendet werden kann, um jeden kompilierten Code (nicht nur in Artifactory) zu scannen und zu überprüfen, ob Spring-Endpunkte, die die Schwachstelle ausnutzbar machen, in der Codebasis existieren.

#JFrog