Cảnh báo nguy cơ tấn công vào hệ thống thông tin của các cơ quan, tổ chức thông qua lỗ hổng bảo mật Spring4Shell
Ngày 08/4/2022, Sở Thông tin và Truyền thông ban hành văn bản
số 335/STTTT-BCVTCNTT về việc cảnh báo nguy
cơ tấn công vào hệ thống thông tin của các cơ quan, tổ chức thông qua lỗ hổng
bảo mật Spring4Shell.
Công Thông tin điện tử Ban
Tuyên giáo Tỉnh ủy trân trọng giới thiệu toàn
văn văn bản.
Trên cơ sở cảnh báo của Cục An toàn thông tin thuộc Bộ
Thông tin và Truyền thông về mã khai thác của một lỗ hổng bảo mật (có tên gọi
Spring4Shell) đã được công khai trên Internet trong khi lỗ hổng này còn chưa có
mã lỗi quốc tế (CVE) đồng thời chưa có bản vá. Lỗ hổng này tồn tại trong Spring
Core, một thành phần lõi trong bộ mã nguồn mở Spring Framework được sử dụng phổ
biến trong các ứng dụng hiện nay, ảnh hưởng đến ứng dụng sử dụng Spring Core
với phiên bản JDK >=9.0, cho phép đối tượng tấn công thực thi mã từ xa và
kiểm soát hệ thống. Theo một số khảo sát đã công bố, có tới hơn 30% sản phẩm
được viết bằng Java có sử dụng Spring Core, ngoài ra đến nay vẫn chưa có thông
tin về bản vá chính thức từ nhà phát triển để khắc phục lỗ hổng nên mức độ ảnh
hưởng của lỗ hổng này được đánh giá rất Nghiêm trọng. Đồng thời dự báo lỗ hổng
này sẽ được các nhóm tấn công có chủ đích (APT) tận dụng để thực hiện các cuộc
tấn công nguy hiểm trên diện rộng ngay lập tức. Hiện đã phát hiện dấu hiệu dò
quét và khai thác thử vào một số hệ thống công nghệ thông tin của các cơ quan,
tổ chức tại Việt Nam thông qua lỗ hổng này.
Do vậy, nhằm đảm bảo an toàn thông tin cho hệ thống thông
tin của các cơ quan, đơn vị, địa phương trên địa bàn tỉnh, Sở Thông tin và
Truyền thông cảnh báo và hướng dẫn các cơ quan, đơn vị, địa phương các biện
pháp đảm bảo an toàn thông tin như sau:
1. Kiểm tra, rà soát và xác minh hệ thống thông tin có sử
dụng Spring core. Trong trường hợp bị ảnh hưởng, cần thực hiện các biện pháp
khắc phục thay thế trong thời gian chờ bản vá được phát hành; đồng thời nâng
cấp các ứng dụng và thành phần liên quan có khả năng bị ảnh hưởng (có phụ
lục thông tin lỗ hổng kèm theo).
2. Tăng cường giám sát và sẵn sàng phương án xử lý khi phát
hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi
kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin
để phát hiện kịp thời các nguy cơ tấn công mạng.
3. Trong trường hợp cần thiết có thể liên hệ đầu mối hỗ trợ
của Đội ứng cứu sự cố an toàn thông tin mạng tỉnh Lào Cai, điện thoại 02143828669/
02143841288, thư điện tử: cert@laocai.gov.vn.
PHỤ
LỤC: THÔNG TIN LỖ HỔNG BẢO MẬT
1.
Thông tin lỗ hổng bảo mật
-
Mô tả: Lỗ hổng này tồn tại trong
Spring Core, cho phép đối tượng tấn công thực thi mã từ xa.
-
Ảnh hưởng: ứng dụng sử
dụng Spring Core phiên bản JDK >= 9.0.
2.
Hướng dẫn kiểm tra và khắc phục lỗ hổng
2.1.
Hướng dẫn kiểm tra, xác định bị ảnh hưởng bởi lỗ hổng Srping4Shell
Bước 1: Kiểm tra phiên bản JDK
Trên máy chủ, hãy chạy lệnh “java
-version” để kiểm tra phiên bản JDK đang chạy. Nếu phiên bản <= 8.0,
hệ thống Quý đơn vị không bị ảnh hưởng bởi lỗ hổng này.
Bước 2: Kiểm tra việc sử dụng
Spring Framework
1. Đối với hệ thống được triển
khai dưới dạng war package:
- Giải nén war package
- Tìm kiếm tệp jar ở định dạng spring-beans-*.jar
(ví dụ: spring-beans-5.3.16.jar) trong tệp giải nén. Nếu có tồn tại, nghĩa là
hệ thống đang sử dụng Spring framework.
2. Đối với hệ thống được triển
khai dưới dang jar package:
- Giải nén jar package
- Tìm kiếm tệp jar ở định dạng spring-beans-*.jar
(ví dụ: spring-beans-5.3.16.jar) trong tệp giải nén. Nếu có tồn tại,
nghĩa là hệ thống đang sử dụng Spring framework.
- Nếu không tìm thấy tệp spring-beans-*.jar,
hãy tiếp tục tìm kiếm tệp CachedIntrospectionResults.class trong
tệp giải nén. Nếu tồn tại tệp này chứng tỏ hệ thống đang sử dụng Spring
framework.
Bước 3: Phân tích, điều tra xác
nhận
Sau khi hoàn thành 2 bước kiểm
tra ở trên, các điều kiện sau được đáp ứng đồng thời sẽ xác định hệ thống bị
ảnh hưởng bởi lỗ hổng bảo mật này:
- Phiên bản JDK >= 9.0
- Sử dụng Spring framework hoặc
derived framework.
- Tồn tại endpoint sử dụng chức
năng DataBinder.
2.2.
Hướng dẫn khắc phục
Hiện tại, chưa có bản vá để khắc
phục lỗ hổng bảo mật nói trên. Vì vậy, để giảm thiểu nguy cơ bị tấn công, Quý
đơn vị có thể thực hiện các biện pháp khắc phục theo nguồn hướng dẫn tham khảo
của một số tổ chức tại:
https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html
https://github.com/spring-projects/spring-framework/commit/002546b3e4b8d791ea6acccb81eb3168f51abb15
https://github.com/spring-projects/spring-framework/releases/tag/v5.3.18
3.
Nguồn tham khảo
https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html
https://www.cyberkendra.com/2022/03/spring4shell-details-and-exploit-code.html