2 kwetsbaarheden ontdekt in Java Framework: Spring4Shell en SpringShell

Recentelijk is een kwetsbaarheid in Java, genaamd Log4Shell, breed in het nieuws gekomen. Deze kwetsbaarheid kwam voor een groot aantal softwarepakketten waardoor kans op misbruik zeer groot was. Afgelopen week zijn er opnieuw 2 kwetsbaarheden ontdekt in java-software, specifiek het Spring Framework dat eigendom is van VMWare. Deze 2 kwetsbaarheden worden in de media vaak door elkaar gehaald en aangeduid met Spring4Shell en SpringShell.

Misbruik van deze software lijkt een stuk minder aanwezig dan Log4Shell omdat het softwareonderdeel waarin de kwetsbaarheid zit minder veel gebruikt wordt. Wij zijn direct begonnen met het contacteren van onze leveranciers voor informatie en het scannen van onze software welke bij ons en onze klanten draait en daar is vooralsnog geen indicatie naar voren gekomen dat er een actieve kwetsbaarheid aanwezig is.

Wellicht heeft u hieromtrent van een aantal softwareleveranciers al een bericht ontvangen. Het is altijd zinvol om contact op te nemen met eventuele andere leveranciers van software binnen uw bedrijf om zeker te weten deze geen potentieel gevaar met zich meebrengt.

‍

Referenties:

Ernstige kwetsbaarheid ontdekt in Spring Core Framework | Nieuwsbericht | Nationaal Cyber Security Centrum (ncsc.nl)

Kritieke kwetsbaarheid “Spring4Shell” | Digital Trust Center (Min. van EZK)

GitHub – NCSC-NL/spring4shell: Operational information regarding the Spring4Shell vulnerability in the Spring Core Framework

‍

Update: Eset heeft expliciet verklaard dat het Spring Framework niet wordt gebruikt en deze kwetsbaarheden dus niet in hun producten aanwezig zijn.

‍

‍