Liebe Partner,

am 29.03.22 wurde erstmalig von einer neuen Sicherheitslücke berichtet, die auf bestimmten Konfigurationen von einem Remote-Angreifer ausgenutzt werden kann, um die komplette Kontrolle über das System zu erlangen.

Obwohl weniger verbreitet als damals Log4j, solltest du auch hier deine eigenen Systeme sowie die deiner Kunden überprüfen!

Welche Systeme sind betroffen?

Die aktuelle Sicherheitslücke betrifft das (quelloffene) Java-Framework “Spring” und ist eine Remote Code Execution mit einem CVSSv3 Score von 9.8!

Folgende Kriterien müssen alle erfüllt sein, damit die Lücke ausgenutzt werden kann:

  1. JDK9 oder höher im Einsatz
  2. Apache Tomcat (kein Spring Boot*) im Einsatz
  3. Benutzt Spring als WAR-Datei erstellte Anwendung in Versionen, die früher als “5.3.18” oder “5.2.20” sind
  4. Es besteht eine Dependency zu “spring-webmvc” oder “spring-webflux”

*Zur Sicherheit wird empfohlen, Spring Boot ebenfalls zu aktualisieren.

Ebenfalls sind verschiedene Produkte von VMware betroffen, eine Übersicht inklusiver Hinweisen zur Mitigation findest du hier:

https://www.vmware.com/security/advisories/VMSA-2022-0010.html

Was kann ich tun?

Betroffene Systeme sollten überprüft und so schnell wie möglich gepatcht werden oder müssen offline gehen.

Ein Update auf Spring 5.3.18 oder respektive 5.2.20 schließt diese Lücke.

Falls das nicht möglich ist, kann alternativ auch Tomcat geupdatet werden, die Versionen 10.0.20, 9.0.62 und 8.5.78 blockieren ebenfalls die Ausnutzung.

Ein Downgrade auf Java 8 ist auch möglich, aber nur im Notfall wirklich ratsam und sinnvoll.

Für weitergehende Informationen sind die folgenden Links hilfreich:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://github.com/NCSC-NL/spring4shell

Sind die SYNAXON Services Systeme betroffen?

Unsere internen Systeme für die Bereitstellung der Managed Services wurde von unserer IT geprüft und sind vollständig gepatcht. Hier konnten wir sichergehen, dass die Lücke nicht aktiv ausgenutzt wurde.

Unsere Lösungsanbieter haben sich zum Teil schon zurückgemeldet, bisher war die Lücke an keiner Stelle vorhanden.

Eine Übersicht zu den aktuell vorhandenen Statements findest du nachfolgend:

Wie geht es weiter?

Falls wir noch weitere Updates zu diesem Thema haben, werden wir diesen Beitrag entsprechend aktualisieren.

Ich habe noch Fragen…

Gar kein Problem. Wie du am schnellsten eine Lösung von uns bekommst, haben wir dir hier zusammengefasst: https://synaxon-services.com/de/blog/2021/10/22/wie-funktioniert-unser-support

Du kannst auch ganz einfach einen Termin mit unserem Technik-Team buchen. Bitte gib in den Bemerkungen die Ticketnummer oder den Grund für den Termin an.