{"id":18704,"date":"2022-04-06T11:18:25","date_gmt":"2022-04-06T09:18:25","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18704"},"modified":"2022-04-06T11:18:25","modified_gmt":"2022-04-06T09:18:25","slug":"spring4shell-critical-vulnerability-in-spring-java-framework","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/spring4shell-critical-vulnerability-in-spring-java-framework\/18704\/","title":{"rendered":"Spring4Shell : une vuln\u00e9rabilit\u00e9 critique dans le framework Spring de Java"},"content":{"rendered":"

Des chercheurs ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 critique, CVE-2022-22965<\/a>, dans Spring, un framework open source pour la plateforme Java. Malheureusement, les d\u00e9tails de cette vuln\u00e9rabilit\u00e9 ont \u00e9t\u00e9 rendus public avant l\u2019annonce officielle de l\u2019entreprise et avant que les correctifs correspondants ne soient disponibles.<\/p>\n

Cette vuln\u00e9rabilit\u00e9 a imm\u00e9diatement attir\u00e9 l\u2019attention des sp\u00e9cialistes en s\u00e9curit\u00e9 des informations puisqu\u2019elle repr\u00e9sente une s\u00e9rieuse menace pour de nombreuses applications Web. Tout comme la tr\u00e8s c\u00e9l\u00e8bre vuln\u00e9rabilit\u00e9 Log4Shell<\/a>, cette nouvelle faille s\u2019appelle Spring4Shell.<\/p>\n

Les cr\u00e9ateurs du framework VMware Spring ont d\u00e9j\u00e0 publi\u00e9 plusieurs patchs qui corrigent les applications vuln\u00e9rables, et nous conseillons \u00e0 toutes les entreprises qui utilisent les version 5.3 et 5.2 du framework Spring d\u2019installer imm\u00e9diatement les mises \u00e0 jour pour utiliser les versions 5.3.18 ou 5.2.20.<\/p>\n

Qu\u2019est-ce que Spring4Shell et pourquoi cette vuln\u00e9rabilit\u00e9 est-elle si dangereuse ?<\/h2>\n

Cette vuln\u00e9rabilit\u00e9 est de type RCE, ce qui signifie qu\u2019elle permet aux cybercriminels d\u2019ex\u00e9cuter un code malveillant \u00e0 distance. Pour le moment, selon CVSS v3.0 Calculator<\/a>, elle a obtenu un score de 9,8 sur 10. Cette faille affecte les applications Spring MVC et Spring WebFlux qui s\u2019ex\u00e9cutent sous la version 9 ou ult\u00e9rieure de Java Development Kit.<\/p>\n

Les chercheurs ont communiqu\u00e9 la d\u00e9couverte de cette vuln\u00e9rabilit\u00e9 \u00e0 VMware mardi soir, mais une preuve de concept de cette faille \u00e9tait publi\u00e9e sur GitHub d\u00e8s mercredi. Cette PoC a rapidement \u00e9t\u00e9 supprim\u00e9e, mais seulement apr\u00e8s que des experts en s\u00e9curit\u00e9 s\u2019en soient rendu compte. D\u2019ailleurs, certains ont confirm\u00e9 le danger de cette faille. Il est tr\u00e8s peu probable que les cybercriminels n\u2019aient pas remarqu\u00e9 un exploit de cette envergure.<\/p>\n

Le framework Spring est souvent utilis\u00e9 par les d\u00e9veloppeurs Java, ce qui signifie que de nombreuses applications pourraient \u00eatre vuln\u00e9rables. Selon un article publi\u00e9 par Bleeping Computer<\/a>, les applications Java vuln\u00e9rables \u00e0 Spring4Shell pourraient \u00eatre une source de compromission pour de nombreux serveurs. De plus, toujours selon cet article, cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e.<\/p>\n

Vous trouverez plus de d\u00e9tails techniques ainsi que les indicateurs de compromission des exploits Spring4Shell dans l\u2019article publi\u00e9 sur notre blog Securelist<\/a>. On y parle aussi d\u2019une autre vuln\u00e9rabilit\u00e9 critique dans le framework Spring de Java (CVE-2022-22963).<\/p>\n

Les conditions pour exploiter la vuln\u00e9rabilit\u00e9 Spring4Shell<\/h2>\n

La seule m\u00e9thode d\u2019exploitation de Spring4Shell connue pour le moment requiert un concours de circonstances particuli\u00e8res. Pour que l\u2019exploit soit un succ\u00e8s, la victime doit utiliser les \u00e9l\u00e9ments suivants :<\/p>\n