Hace unos meses, la vulnerabilidad Log4Shell, que afectaba a la librería open source Apache Log4j (y con ella, a casi todas las grandes plataformas web), causó una oleada de preocupación en la industria tecnológica y llegó a provocar una reunión en la Casa Blanca que tomar medidas con respecto al modo en que se estaban planteando el mantenimiento de software crítico para la infraestructura de Internet.
Ahora, una nueva vulnerabilidad ‘zero day’, conocida como ‘Spring4Shell’, acaba de salir a la luz, y algunos expertos afirman que podría tener «un impacto mayor» que el que tuvo Log4Shell en su momento. Bueno, técnicamente se trata de dos vulnerabilidades: ‘Spring4Shell’ propiamente dicha, también conocida como CVE-2022-22965, y una vulnerabilidad menor llamada CVE-2022-22963.
Spring4Shell afecta a las aplicaciones desarrolladas con el framework Spring, creado con el fin de agilizar la creación de software con Java. Como en el caso de Log4Shell, su existencia se hizo pública tras ser descubierta la vulnerabilidad por un investigador de ciberseguridad chino que difundió un exploit de prueba en varios tuits ya eliminados.
The «vulnerable code» in Spring is creating a «deep clone» of an object by serializing and then deserializing it. In Java, any attempts to deserialize an object can result in RCE if an attacker is able to control the data being passed. More info in link https://t.co/J2RA1jd9G4
— LunaSec (@LunaSecIO) March 30, 2022
El framework Spring es usado en el desarrollo de aproximadamente el 74% de las aplicaciones Java
¿Qué dicen los expertos?
Anthony Weems y Dallas Kaman, expertos de la firma de seguridad Pretorian, en declaraciones a Developer Tech, explicaron que,
«En ciertas configuraciones, la explotación de este problema resulta sencilla, ya que sólo requiere que un atacante envíe una solicitud HTTP especialmente diseñada a un sistema vulnerable».
«Sin embargo, la explotación de diferentes configuraciones requeriría que el atacante realizase una investigación adicional para encontrar cargas útiles que resulten efectivas».
Según la investigación publicada por LunaSec, todas las versiones de Spring Core lanzadas antes de conocerse la vulnerabilidad pueden verse afectadas si los usuarios ejecutan JDK 9 o superior.
Desde otra compañía del sector, Contrast Security Labs, afirman que esta vulnerabilidad —que permite al atacante llevar a cabo ataques basados en la ejecución arbitraria de código— podría tener «un impacto mayor que Log4j» debido al modo en que manejan el ‘binding’ las aplicaciones creadas con el mencionado framework (el 74% de las desarrolladas en Java, aunque otras fuentes hablan del 60% o del 86%):
«Recomendamos a los desarrolladores de Java que establezcan específicamente la propiedad de campos permitidos o establezcan correctamente los campos no permitidos para los patrones de ataque malicioso conocidos dentro de la clase DataBinder».
Por fortuna, los desarrolladores de Spring Framework han lanzado ya actualizaciones a las versiones 5.3.18 y 5.2.20 (más información aquí), por lo que los desarrolladores podrán parchear sus frameworks y recompilar las aplicaciones afectadas. Por desgracia, las aplicaciones que se encuentran en producción y sin mantenimiento, seguirán siendo vulnerables.
Tecnología NVMe (PCIe Gen3 x4) con lecturas secuenciales de hasta 3500 MB/s, lectura/escritura aleatoria 650K/700K IOPS Amplio almacenamiento de hasta 4TB Funciona hasta un 45% mejor que la generación anterior Solid Gen3 performance Calificado en MTT... read more
BMAX Mini Pc 6GB+64GB eMMC Windows 10 Pro Celeron N3350 Fanless Desktop Computerr, 2.4G+5G Dual Band WiFi,HDMI+VGA Doppio Display, 4K HD for Business e Entertainment Mini Computer Micro PC Por solo 139,99 €
El té a ha bee involucra i micr P fabricando para hombre años Inte Celero N335 i ne versio over asequible an hig quality upgrade microcomputer Multifunction Support Linux Ubuntu NGFF PX boot networ wake RTC slee mode alabado sea eficiente una velocid... read more
Hub USB 3.0 de 4 Puertos: Se puede conectar a 4 dispositivos diferentes. Para dispositivos conectados a un hub USB, suministra energía estable. La Velocidad de Transferencia hasta 5Gbps: Transmite video de alta definición en unos segundos, y la veloc... read more
Perlegear Soporte de Pared para TV, el Soporte de Pared para TV para televisores de 10 a 32 Pulgadas de hasta 20 kg, VESA máximo 100x100mm, 75x75mm, 50x50mm Por solo 37,99 €18,85 €
DISEÑO COMPACTO - Este soporte de televisión se adapta a la mayoría de los televisores de 10"a 32" que pesen hasta 20kg. Compatible con VESA (patrón de orificios de montaje)100x100mm,75x75mm,50x50mm. Diseño agradable y compacto que muestra una aparie... read more
AppleOrdenador PortáTil MacBook Air (2020): Chip M1, Pantalla Retina de 13 Pulgadas, 8 GB de RAM, SSD de 256 GB, Teclado retroiluminado, cáMara FaceTime HD, Sensor Touch ID, Color Plata Por solo 1.219,00 €979,00 €
Batería para un día entero. Hasta 18 horas de autonomía en función del uso para tener más libertad que nunca. Gran rendimiento. Puede con todo, desde editar vídeo con calidad profesional hasta echar partidas épicas. El chip M1 de Apple con CPU... read more
🔌 Tu compra incluye 3 soportes (de 3, 5, y 7 espacios respectivamente) que pondrán fin al calvario y desorden de cables en tu hogar, oficina, coche, o cualquier otro sitio. 🔌 Con un adhesivo fuerte y resistente, podrás fijar estos soportes en cualqui... read more
903XL Cartuchos de Tinta 903 Chip de Actualización compatibles con Cartuchos HP 903 XL 903 para HP OfficeJet Pro 6950 HP officejet Pro 6960 HP officejet Pro 6970 (1 Negro/1 Cian/1 Magenta/1 Amarillo) Por solo 32,09 €30,00 €
colorfly 903 XL Cartuchos de tinta compatibles HP 903XL multipack para tinta hp officejet 6950 Compatibilidad perfecta: colorfly cartuchos de tinta 903XL Multipack Para OfficeJet 6950, para OfficeJet Pro 6960 6970 6961 6963 6965 6968 6974 6975 6976 6... read more
Logitech MK295 Combo de Ratón y Teclado Inalámbricos: Tecnología SilentTouch, Teclado Numérico Completo, Botones de Atajos, Receptor Nano USB, 90 % Menos de Ruido, Disposición QWERTY Español - Blanco Por solo 53,99 €32,00 €
TECNOLOGÍA SILENTTOUCH: Este combo de teclado y ratón inalámbrico Logitech MK295 cuenta con sensor óptico avanzado y ofrece la misma experiencia al teclear y hacer clic con un 90% menos de ruido COMODIDAD A LO GRANDE: El teclado incorpora una disposi... read more
Canon Selphy CP1300, Impresora Fotográfica Inalámbrica (Apple AirPrint, Mopria, Pantalla Abatible de 8.1 cm, Tintas de 3 Colores, 300 x 300 ppp), Wifi, USB, Negro Por solo 139,00 €103,99 €
Impresiones inalámbricas rápidas desde dispositivos inteligentes gracias a la aplicación Canon Print, MopriaTM, Apple AirPrintTM y el botón Wifi Realiza impresiones vibrantes, duraderas y de excelente calidad en menos de un minuto gracias a la tecnol... read more
Uliptz Auriculares Inalámbricos Bluetooth, 65 Horas de Reproducción, 6 Modos de Sonido EQ, Auriculares Inalámbricos Diadema Estéreo HiFi con Micrófono, Audifonos Bluetooth 5.2 para TV/PC/Teléfono Por solo 29,99 €
AUDIO DE ALTA FIDELIDAD: los auriculares Bluetooth Uliptz ofrecen agudos nítidos, medios equilibrados y graves potentes a través de controladores estéreo acústicos de 40 mm. Equipado con 6 modos de ecualización, cambia según la música diferente el so... read more
★Almacenamiento de Datos Extendido de 982GB: Esta unidad de pulgar tiene capacidad para 982 GB de datos masivos, admite casi todos los tipos de almacenamiento de datos, como canciones, fotos, películas, documentos, presentaciones, software, manuales,... read more
Apple 2022 OrdenadorPortátilMacBook Air con Chip M2 Pantalla Liquid Retina de 13,6 Pulgadas, 8GB de RAM, 256 GB de Almacenamiento SSD, Teclado retroiluminado, Color Negro Noche Por solo 1.519,00 €1.249,00 €
DISEÑO ULTRAFINO – El nuevo MacBook Air solo pesa 1,24 kg y ofrece una portabilidad fuera de serie. Con este ordenador tan versátil podrás trabajar, jugar y desatar tu creatividad allá donde vayas. SUPERPOTENCIADO CON EL CHIP M2 – Haz tus tareas en t... read more
【Tecnología Bluetooth 5.0 avanzada】 Los auriculares inalámbricos Bluetooth utilizan la tecnología Bluetooth 5.0 más avanzada para proporcionar una conexión más rápida y estable, un sonido más realista y un menor consumo de energía. El diseño estéreo ... read more
Pantalla de 15.6" Full HD 1920 x 1080 pixeles OLED Procesador AMD Ryzen 5 5600H (6C/HexaCore 3.3 / 4.2GHz, 16MB) Memoria RAM de 16GB SO-DIMM DDR4 Almacenamiento de 512GB SSD M.2 NVMe PCIe Tarjeta gráficaNVIDIAGeForce RTX 3050 4GB GDDR6 Sin Sistema ... read more
Cable Cargador iPhone, [3Pack 2M] Cable iPhone Carga Rápida Trenzado de Nylon Compatible con iPhone 13 12 11 Pro XS MAX XR X 8 Plus 7 Plus 6S 6 Plus 5 5S 5C SE - Negro Por solo 9,99 €
[Carga Rápida y Sincronización]: El cargador iphone está diseñado para ahorrar tiempo, lo que garantiza una velocidad de carga máxima de hasta 5V/2.4A. Transferencia de datos de hasta 480 Mbits a través de USB 2.0. [Duradero Adicional]: Cable Carga i... read more
Ideal para smartphones y tabletas basadas en Android, cámaras diditales, GPS, MP3 players, teléfonos celulares, GoPro and PDAs Resistente al agua, a prueba de temperatura, a prueba de rayos X, a prueba de agua Great speed and performance for full HD ... read more
Elegante y ligero: el PC portátil HP 250 resulta óptimo para trabajar desde donde necesites, con un diseño fino y elegante; la elegante pantalla con bordes estrechos y una elevada relación pantalla-cuerpo te ofrece un amplio espacio para trabajar o r... read more