Belangrijke informatie over kwetsbaarheid Spring4Shell

NBIP stelt zich ten doel deelnemers te informeren over nieuwe en bestaande kwetsbaarheden met een hoog risico profiel. Daarom vindt u hieronder informatie over Spring4Shell en hoe u dataverlies of inbreuk op data kunt proberen te voorkomen.

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor een ernstige kwetsbaarheid in het Spring Core Framework
Spring4Shell is een kwetsbaarheid in Spring Core Framework. Dat is een set van Java libraries waarmee op gestructureerde wijze applicaties kunnen worden ontwikkeld die vervolgens zowel standalone kunnen draaien of in webapplicatie-omgevingen als Tomcat. Het misbruiken van deze kwetsbaarheid heeft verschillende technische randvoorwaarden en vereist meerdere kwaadaardige verzoeken om een unauthenticated remote code execution aanval uit te voeren.

Het NCSC heeft een High/High beveiligingsadvies over de kwetsbaarheid gepubliceerd. Op de NCSC pagina vindt u meer informatie over welke versies van het Spring Framework kwetsbaar zijn en wat u ertegen kunt doen.

Verder zijn een aantal scan tools beschikbaar gesteld (GitHub) waarmee getest kan worden of de systemen kwetsbaar zijn. Een daarvan kunt u hier vinden.

Is er een patch beschikbaar?
Spring.io heeft updates beschikbaar gesteld om de kwetsbaarheid te verhelpen in Spring Framework versie 5.3.18 en 5.2.20. Meer informatie hierover is beschikbaar op de pagina van het NCSC.

Het NCSC houdt de komende maand een actueel overzicht bij van mitigerende maatregelen, detectiemethoden en applicaties waarvan bekend is geworden of ze wel of niet kwetsbaar zijn voor de Spring4Shell-kwetsbaarheid. U vindt dit overzicht op de GitHub van het NCSC.

Houd dit overzicht in de gaten en onderneem actie als dat nodig is voor een applicatie die uw organisatie gebruikt.