Spring vừa phát hành bản cập nhật khẩn cấp để vá lỗ hổng zero-day thực thi code từ xa Spring4Shell. Thông tin về lỗ hổng này đã bị rò rỉ trên internet trước khi bản vá được phát hành.
Rất nhanh sau đó một hướng dẫn khai thác lỗ hổng Spring4Shell trong Spring Framework đã được đưa lên GitHub và bị xóa đi. Nhưng internet là một thế giới mở nên hướng dẫn khai thác đó nhanh chóng được chia sẻ lại ở những chỗ khác và được các nhà nghiên cứu bảo mật kiểm tra và xác nhận là một phương thức khai thác chuẩn chỉ của Spring4Shell.
Lỗ hổng Spring4Shell tồn tại trong Spring Core, thành phần lõi của bộ mã nguồn mở Spring Framework. Hiện tại, Spring Framework được sử dụng phổ biến trong các ứng dụng web. Ước tính, khoảng 50% ứng dụng web viết bằng Java dùng Spring Core. Theo đánh giá, Sping4Shell còn nguy hiểm hơn cả lỗ hổng Log4Shell, một trong những lỗ hổng nguy hiểm nhất thập kỷ vừa được phát hiện cuối năm 2021.
Theo Trung tâm Giám sán an toàn không gian mạng quốc gia (NCSC) đã có những nhóm hacker thực hiện dò quét và khai thác thử Spring4Shell trên một số hệ thống CNTT của cơ quan, tổ chức tại Việt Nam.
Để khắc phục lỗ hổng, quản trị viên CNTT cần cập nhật lên các phiên bản sau:
- Spring Framework 5.3.18 và Spring Framework 5.2.20.
- Spring Boot 2.5.12.
- Spring Boot 2.6.6 (sẽ sớm được tung ra).
Lỗ hổng Spring4Shell đặc biệt nguy hiểm bởi các nhà phát triển thường sử dụng code mẫu cho các ứng dụng của họ. Vì thế, nhiều ứng dụng đứng trước nguy cơ bị tấn công trực tuyến.
Quản trị viên cần ưu tiên triển khai các bản cập nhật càng sớm càng tốt. Lý do là vì hacker đang rất tích cực khai thác lỗ hổng mới.