NCSC waarschuwt voor ernstige kwetsbaarheid in Spring Core Framework

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor een ernstige kwetsbaarheid in het Spring Core Framework. Dit is een set van Java-libraries, die in veel software wordt gebruikt. De kwetsbaarheden geven aanvallers de mogelijkheid in bepaalde omstandigheden willekeurige code uit te voeren op systemen van slachtoffers. Zo kunnen zij toegang krijgen tot informatie binnen applicaties.

De kwetsbaarheid waarvoor het NCSC waarschuwt staat bekend als 'Spring4Shell' en is geïdentificeerd als CVE-2021-22965. Het NCSC schat de kans op misbruik en de kans op potentiële schade beide in op hoog. Inmiddels is een update voor het Spring Core Framework uitgebracht door Spring.io. Het NCSC adviseert gebruikers zo snel mogelijk te updaten naar versie 5.3.18 of versie 5.3.20.

Het Digital Trust Center deelt daarnaast maatregelen die beheerders kunnen nemen om een aanval via Spring4Shell kan worden gestopt. Zo wijst het op een methode gedeeld door open source datasecurityplatform LunaSec, waarbij blacklisten wordt toegepast op de functie DataBinder. Ook zijn er inmiddels methodes beschikbaar waarmee organisaties hun kwetsbaarheid voor Spring4Shell kunnen controleren.