Threats
Vulnerabilidades no GitLab, no Spring Framework e Spring Cloud Function motivaram o lançamento de um alerta por parte do Centro Nacional de Cibersegurança
07/04/2022
O Centro Nacional de Cibersegurança lançou esta semana três alertas de vulnerabilidades diferentes. O primeiro diz respeito ao Spring Cloud Function, nas suas versões 3.1.6, 3.2.2 e anteriores; outra é referente ao Spring Framework, nas versões 5.3.0 a 5.3.171, 5.2.0 a 5.2.19 e anteriores; e, por fim, ao GitLab CE/EE versões anteriores a 14.7.7, 14.8.5 e 14.9.2. Sobre o primeiro dos alertas, o CNCS escreve que “foi publicada uma atualização de segurança na Spring Cloud Function para mitigar uma vulnerabilidade crítica de Execução de Código Remoto (RCE) (CVE-2022-22963). Quando se utiliza a ‘routing functionality’, um utilizador pode injetar uma Spring Expression Language (SpEL) específica como ‘routing-expression’, que pode resultar na execução remota de código e acesso a recursos locais”. O Centro Nacional de Cibersegurança recomenda “a atualização para as versões Spring Cloud Function 3.1.7 e Spring Cloud Function 3.2.3” e leitura do relatório de segurança da VMware. O segundo alerta diz respeito ao Spring Framework e o Centro Nacional de Cibersegurança escreve que “a exploração da vulnerabilidade”, que descreve como “crítica de Execução de Código Remoto”, implica que as aplicações Spring MVC e Spring WebFlux corram em JDK 9+ e em Apache Tomcat como uma implementação WAR. “Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código arbitrário”, refere o CNCS. Para mitigar a vulnerabilidade CVE-2022-22965, “recomenda-se a atualização para as versões Spring Framework 5.3.18+ e Spring Framework 5.2.20+. Para versões mais antigas e sem suporte, é recomendada a atualização do Apache Tomcat para as versões 10.0.20, 9.0.62 ou 8.5.78 e a aplicação das mitigações mencionadas. Foi disponibilizada uma ferramenta de deteção da vulnerabilidade”. Também se aconselha a leitura do relatório de segurança da VMware. Por fim, o CNCS alerta que foram “publicadas atualizações de segurança da GitLab Community Edition (CE) e Enterprise Edition (EE) para correção de 17 vulnerabilidades, entre elas uma vulnerabilidade crítica (CVE-2022-1162) relacionada ao conjunto de palavras-passe codificadas durante o registo baseado na OmniAuth”. O Centro Nacional de Cibersegurança indica que, caso esta vulnerabilidade seja explorada com sucesso, permite que um atacante remoto tenha acesso a contas de utilizadores e recomenda a “atualização para as versões GitLab CE/EE 14.9.2, 14.8.5 e 14.7.7”. A GitLab disponibilizou, ainda, um script para identificar utilizadores potencialmente impactados. |