Vulnerabilidad crítica en Spring Framework

El pasado 5 de abril se publicaron tres actualizaciones para Spring. De las tres vulnerabilidades, una de ellas es crítica (CVE-2018-1270) y permite Ejecución Remota de Código (RCE) y permitía a los atacantes ejecutar código arbitrario contra las aplicaciones en las que se ha utilizado el mencionado framework para su construcción.

Spring es un framework Open Source para el desarrollo de aplicaciones Java, aunque tiene extensiones para la creación de aplicaciones web sobre la plataforma Java EE.

En el aviso publicado por Pivotal, empresa encargada de Spring, se explica que han sido encontradas en las versiones de la 5.0 a la 5.0.4 y de la 4.3. a la 4.3.14, además de aquellas que ya no tienen soporte oficial.

La crítica es la ya mencionada ejecución de código en remoto, que a afecta a spring-messaging y su código es CVE-2018-1270. Según su descripción, las versiones vulnerables de Spring permiten a las aplicaciones exponer STOMP sobre los endpoints de WebSocket con un intermediario STOMP simple en memoria a través del módulo spring-messaging. Un atacante podría crear un mensaje específicamente diseñado para el intermediario que podría llevar a un ataque de ejecución código en remoto.

La vulnerabilidad considerada como de gravedad alta es de Directory Traversal, afecta a Spring MVC sobre Windows y su código es CVE-2018-1271. Las versiones vulnerables de Spring permiten que las aplicaciones configuren Sping MVC para servir recursos estáticos como CSS, JavaScript e imágenes. Cuando el recurso estático es servido desde un sistema de ficheros en Windows (a diferencia de classpath o ServletContext), un actor malicioso podría enviar una petición usando una URL específicamente diseñada que puede llevar a un ataque de tipo directory traversal.

La vulnerabilidad considerada como de gravedad leve es una Contaminación Multiparte del Contenido, cuyo código es CVE-2018-1272. Las versiones vulnerables de Spring ofrecen soporte en el lado del cliente para peticiones multiparte. Cuando Spring MVC o una aplicación de servidor Spring WebFlux recibe una entrada de un cliente remoto y la utiliza para hacer peticiones multiparte a otro servidor, este puede acabar expuesto a un ataque en el que una multiparte extra es insertada en el contenido de la petición desde el servidor. El primer servidor causa que el segundo use un valor equivocado para la parte que espera, pudiendo llevar a una escalada de privilegios si el contenido de la parte representa a un nombre de usuario o roles de usuario. Para tener éxito, el atacante debería de adivinar el valor límite multiparte elegido por el primer servidor para la solicitud multiparte al segundo servidor, requiriendo que el atacante también tenga control sobre el servidor o la capacidad de ver el registro HTTP del primer servidor a través de otro ataque.

Pivotal ya ha corregido las vulnerabilidades en las versiones de mantenimiento 5.0.5 y 4.3.15 de Spring, además de actualizar Spring Boot a las versiones 2.0.1 y 1.5.11 para que funcionen en las versiones más recientes del framework. Sobra decir que se urge a desarrolladores y administradores actualizar cuanto antes para evitar problemas.

Fuente: The Hacker News

Suscríbete a nuestro Boletín