ERNSTIGE KWETSBAARHEID SPRING CORE FRAMEWORK

 

Op 31 maart is een zero-day kwetsbaarheid ontdekt in het Java Spring Core Framework. Spring Core Framework is een set van Java libraries waarmee op gestructureerde wijze applicaties kunnen worden ontwikkeld die vervolgens zowel standalone kunnen draaien of in webapplicatie-omgevingen als Tomcat.

Deze vulnerability heeft de naam Spring4Shell gekregen en kan ook worden gevonden via de CVEs cve-2022-22963 en cve-2022-22965. Een goede bron van informatie is het zogenaamde Digital Trust Center van onze overheid. Via deze link is alle waardevolle informatie terug te vinden.

https://www.digitaltrustcenter.nl/nieuws/kritieke-kwetsbaarheid-spring4shell

AnyLinQ staat voortdurend in nauw contact met haar leveranciers. Zo zorgen we ervoor dat wij onze klanten zo zorgvuldig en tijdig mogelijk kunnen informeren en adviseren. Voor klanten die bij ons een AnyCare Premier of een AnyCare “… as a Service” contract hebben, zullen wij vanuit onze beheerverantwoordelijkheid zorgen dat de omgeving voorzien is/wordt van de patch levels zoals deze door de leveranciers wordt geadviseerd. Klanten die bij ons een AnyCare Basic of een AnyCare Advanced contract hebben, zijn zelf verantwoordelijk voor het onderhoud en updaten naar de juiste patch levels van hun infrastructuur. Wij zullen iedereen zo goed als mogelijk adviseren over de te nemen stappen. Om daarbij extra te helpen, zijn hieronder links te vinden die iedereen in staat stellen de meest actuele adviezen te verkrijgen bij de diverse leveranciers (niet uitputtend). Wij adviseren iedereen om deze regelmatig te controleren op eventuele updates. Deze lijst wordt bijgewerkt met links van leveranciers zodra deze beschikbaar worden.

Wij raden aan om webapplicaties/webservers totdat deze vulnerability gepatched is niet extern bereikbaar te maken om de aanvalsmogelijkheden te minimaliseren.

Commvault:                       Link Commvault

Huawei:

Huawei heeft nochtans geen updates hieromtrent uitgebracht. Mochten deze komen dan geldt bovengenoemde. De noodzakelijke informatie kunt u ook terugvinden op onderstaande links.

Hardware Storage:           https://www.huawei.com/en/psirt/all-bulletins

Hardware Servers:           https://www.huawei.com/en/psirt/all-bulletins

Security NGFW’s:             https://www.huawei.com/en/psirt/all-bulletins

Software Esight:                https://www.huawei.com/en/psirt/all-bulletins

Software Agile:                  https://www.huawei.com/en/psirt/all-bulletins

VMWare:                        Link VMSA 2022-0010

Fortinet:                          FR-IR-22-072

——————————————————

On March 31st a zero-day vulnerability has been discovered in the Java Spring Core Framework. Spring Core Framework is a set of Java libraries which are used to devekop applications in a structured way for standalone usage as well as web application environments such as Tomcat.

The vulnerability has been given the name Spring4Shell and can also be found via the CVEs cve-2022-22963 and cve-2022-22965. A good source is the so-called Digital Trust Center of our government. You can find all valuable information yourself via this link.

https://www.digitaltrustcenter.nl/nieuws/kritieke-kwetsbaarheid-spring4shell

AnyLinQ is in constant close contact with its suppliers. In this way we ensure that we can inform and advise our customers as carefully and in a timely manner as possible. If you have an AnyCare Premier or an AnyCare “… as a Service” contract with us, we will ensure that your environment is/will be provided with the patch levels such as advised by the suppliers as part of our managed service responsibility. If you have an AnyCare Basic or an AnyCare Advanced contract with us, you as a customer are responsible for maintaining your environment and therefore also ensure that your environment is at the correct patch level. We will advise you as best as possible about the steps to be taken. To help you with that, please find below links that enable you to obtain the most current advice from the various suppliers (not limited). We recommend everyone to check it regularly for any updates. This list will be updated with links from suppliers as they become available.

We advise to remove external access to web applications/web servers until the vulnerability has been patched to reduce possible attack vectors.

Commvault:                       Link Commvault

Huawei:

Huawei has not yet released any updates in this regard. If these come, the above applies. You can also find the necessary information on the links below.

Hardware Storage:           https://www.huawei.com/en/psirt/all-bulletins

Hardware Servers:           https://www.huawei.com/en/psirt/all-bulletins

Security NGFW’s:             https://www.huawei.com/en/psirt/all-bulletins

Software Esight:                https://www.huawei.com/en/psirt/all-bulletins

Software Agile:                 https://www.huawei.com/en/psirt/all-bulletins

VMWare:                       Link VMSA 2022-0010

Fortinet:                      FR-IR-22-072


——– Update 06-04-2022 15:00 ———-

Van Huawei hebben wij vernomen dat geen van de producten die AnyLinQ heeft verkocht, of ondersteund kwetsbaar is door Spring4Shell. Dit is nog niet vanuit Huawei op hun site gepubliceerd en betreft zowel de server-, storage- en netwerk hardware als de software die vanuit Huawei wordt geleverd voor beheer van de hardware.

Geen van de producten die AnyLinQ heeft geleverd of momenteel ondersteund zijn volgens de leveranciers vulnerable voor de Spring4Shell kwetsbaarheid.

In het geval van Commvault zijn er wel Spring Framework bestanden van een kwetsbare variant maar deze zijn niet gebruikt op een kwetsbare manier. Deze worden in een toekomstige update naar een up-to-date versie geüpdatet.

ENG:

——– Update 06-04-2022 15:00 ———-

AnyLinQ has been informed by Huawei that none of the products that AnyLinQ has sold or supports is vulnerable for Spring4Shell. This has not yet been posted publicly on the Huawei sites and concerns both server, storage and networking hardware as well as the software that Huawei provides to manage their hardware.

None of the products sold or currently supported by AnyLinQ are vulnerable for the Spring4Shell vulnerability. This has been verified by our suppliers.

In the case of Commvault vulnerable versions of the Spring Framework files are present but are not used in a way that makes it vulnerable. These files will be updated in a future update for Commvault.

——————————————————

——– Update 04-04-2022 14:00 ———-
Commvault

Commvault heeft een officiële post op hun security advisory pagina toegevoegd over Spring4Shell.

https://documentation.commvault.com/11.24/essential/146231_security_vulnerability_and_reporting.html#cv2022041-spring-framework

——————————————————

CV_2022_04_1: Remote Code Execution Vulnerability in the Spring Framework

Advisory ID: CV_2022_04_1

External Reporting IDs: CVE-2022-22963, CVE-2022-22965

Issued On: April 01, 2022

Updated On: April 01, 2022

Severity: High

Affected Products

The vulnerability does not affect Commvault products.

Resolution

As stated in the Spring.io blog, if the application is deployed as a Spring Boot executable jar, which is the default jar, it is not vulnerable to the exploit. Commvault internally uses the Message Queue application, which includes the default Spring Boot executable jar that is not vulnerable to the exploit.

As a precaution, we are upgrading the Message Queue application to the version recommended by Spring.io in our upcoming maintenance releases.

——————————————————

Fortinet

Fortinet geeft op hun security advisory pagina aan dat geen van de producten die door AnyLinQ bij klanten gedeployed kwetsbaar zijn.

https://www.fortiguard.com/psirt/FG-IR-22-072

——————————————————

VMware

VMware geeft op hun security advisory pagina aan dat alleen Tanzu producten kwetsbaar zijn. AnyLinQ heeft geen Tanzu deployments gedaan bij klantomgevingen.

Link VMware

 

——– Update 01-04-2022 14:00 ———-
Commvault heeft de volgende update met ons gedeeld.
————–
Update March 31, 2022, 10:45 PM EST
Early investigation from our engineering team shows that we do not utilize the components for Spring MFC or Spring WebFlux, meaning that we do not appear to be vulnerable to this recent exploit.
That being said, spring binaries are present as part of the JDK framework which is leveraged by our CVMessageQueue service (CVMessageQueue.exe), responsible for push notifications for jobs, events, and alerts. This service is deployed with the Web Console and Command Center package.
Security scanners may find the location of affected spring binaries in Commvault\ContentStore\MessageQueue\lib\optional\
We are currently evaluating how to best remediate this so that it does not appear on security scanners and we will provide a further update within the next 24 hours.
——————————————————-

Op dit moment zijn er ook indicaties dat de cloud apps en Oracle packages kwetsbaar zijn.

Dit komt overeen met de log4j vulnerability van een paar maanden geleden. We monitoren de situatie en melden alle aanvullend info over kwetsbaarheden zo snel mogelijk.

——– Update 04-04-2022 14:00 ———-

 

Commvault

Commvault has added an official post on their security advisory page about Spring4Shell.

https://documentation.commvault.com/11.24/essential/146231_security_vulnerability_and_reporting.html#cv2022041-spring-framework

——————————————————

CV_2022_04_1: Remote Code Execution Vulnerability in the Spring Framework

Advisory ID: CV_2022_04_1

External Reporting IDs: CVE-2022-22963, CVE-2022-22965

Issued On: April 01, 2022

Updated On: April 01, 2022

Severity: High

Affected Products

The vulnerability does not affect Commvault products.

Resolution

As stated in the Spring.io blog, if the application is deployed as a Spring Boot executable jar, which is the default jar, it is not vulnerable to the exploit. Commvault internally uses the Message Queue application, which includes the default Spring Boot executable jar that is not vulnerable to the exploit.

As a precaution, we are upgrading the Message Queue application to the version recommended by Spring.io in our upcoming maintenance releases.

——————————————————

Fortinet

The Fortinet security advisory page shows that none of the products that have been deployed by AnyLinQ are vulnerable.

https://www.fortiguard.com/psirt/FG-IR-22-072