Die neue Schwachstelle Spring4Shell macht Java-Anwendungen potenziell für Remote Code Executions (RCE) angreifbar. Die Security-Experten von Controlware unterstützen Kunden mit Compromise Assessments, Vulnerability Scans und Threat Hunting dabei, verwundbare Systeme zu lokalisieren und auf einen möglichen Befall zu untersuchen.
Spring4Shell wurde am 31. März 2022 erstmals dokumentiert, als Sicherheitslücke mit der Kennung CVE-2022-22965 versehen und mit einem kritischen CVSS Score von 9,8 bewertet. Nach aktuellem Kenntnisstand betrifft die Schwachstelle Spring MVC- und Spring WebFlux-Anwendungen, die über das Java Development Kit (JDK) 9 oder höher auf einem Apache Tomcat Webserver ausgeführt werden.
Kompromittierte Systeme können dabei für gefährliche Remote Code Executions (RCE) missbraucht werden - Unternehmen sollten potenziell anfällige Umgebungen daher mit hoher Dringlichkeit auf verdächtige Prozesse, die aus Java heraus gestartet wurden, untersuchen. Als Datenquelle für diese Analyse eignen sich besonders gut die Endpoint-Telemetrie-Daten der betroffenen Systeme, zum Beispiel solche aus EDR-Lösungen.
„Spring4Shell erinnert in vielen Bereichen an Log4Shell. Die Schwachstelle betrifft zwar nicht ganz so viele Organisationen, doch das Potenzial für gefährliche Remote Code Executions ist ebenso hoch, da die Angreifer beliebigen Code einschleusen und enorme Schäden verursachen können“, warnt Benjamin Heyder, Teamlead Cyber Defense Consulting bei Controlware.
„Unternehmen sollten daher schnellstmöglich prüfen, ob ihre Systeme angreifbar sind oder sogar bereits kompromittiert wurden. Dafür empfehlen wir neben Schwachstellen-Scans auch dringend die Durchführung eines individuellen Compromise Assessments.“
Compromise Assessment gibt Klarheit
Nach aktuellen Expertenschätzungen bleiben Kompromittierungen in 98,9 Prozent aller Unternehmen unbemerkt. Bei einem Compromise Assessement wird das Netzwerk eines Unternehmens inklusive aller Devices systematisch untersucht, um Anzeichen für unbefugte Zugriffe, Schadsoftware oder Sicherheitslücken zu entdecken und aktuell laufende oder kürzlich erfolgte Angriffe zu identifizieren.
„Ein Compromise Assessment erkennt viele Indikatoren, die ein Intrusion Prevention System oder ein Intrusion Detection System nicht registriert. Das ermöglicht es den internen Teams, Sicherheitslücken im vorhandenen Ökosystem zuverlässig zu entdecken und Security-Investitionen fundiert zu begründen“, erklärt Benjamin Heyder.
„Der Großteil unserer Kunden entscheidet sich nach einem vierwöchigen Testbetrieb dafür, das Compromise Assessement in den Regelbetrieb zu überführen – und stellt so die Weichen für einen besseren Schutz und die kontinuierliche Optimierung ihrer Security-Prozesse.“