2022] Vulnerabilidad Spring4Shell en Spring Framework afecta a Sistemas de Control Industrial

Fecha de publicación 20/04/2022

Importancia

5 - Crítica

Recursos Afectados

Productos del fabricante Siemens:
- Operation Scheduler, versiones anteriores a la 2.0.4;
- SiPass integrated V2.80, todas las versiones;
- SiPass integrated V2.85, todas las versiones;
- Siveillance Identity V1.5, todas las versiones;
- Siveillance Identity V1.6, todas las versiones.

[Actualización 28/04/2022]

Productos del fabricante Bosch:
- Bosch MATRIX, desde la versión 3.3 hasta la 3.8.4 (incluidas).

[Actualización 14/10/2022]

Productos del fabricante Hitachi Energy:
- Lumada Asset Performance Manager (APM) servicio online (SaaS) versión 6.3.220323.0 y anteriores.
- Lumada Asset Performance Manager (APM) versiones 6.0.0.0 a 6.0.0.4, 6.1.0.0 y 6.1.0.1, 6.1.0.0 y 6.1.0.1, 6.2.0.0 a 6.2.0.2.

Descripción

Se ha revelado una vulnerabilidad en Spring Framework denominada Spring4Shell, que podría permitir a un atacante remoto, no autentificado, la ejecución de código.

Solución

Para los productos Siemens:
- Operation Scheduler, actualizar a la versión 2.0.4 o superior;
- SiPass integrated V2.80, aplicar el parche;
- SiPass integrated V2.85, aplicar el parche;
- Siveillance Identity V1.5 y V1.6, aún no hay parche disponible. Se recomienda bloquear las conexiones entrantes y salientes entre el sistema e Internet.

[Actualización 29/04/2022]

Siveillance Identity V1.5 y V1.6:
- Actualizar a Siveillance Identity V1.5 o V1.6 y aplicar el parche.

[Actualización 28/04/2022]

Para los productos Bosch:
- Instalar el parche de seguridad para los productos afectados, disponible para Bosch MATRIX versiones 3.7 y 3.8. Contactar con Bosch Building Technologies Integrator Business Service Hotline para la obtención de dichos parches.
- Instalar las próximas versiones que incluirán una versión actualizada de la librería Spring Framework:
  - Bosch MATRIX versión 3.7.7 (prevista para principios de junio de 2022);
  - Bosch MATRIX versión 3.8.5 (prevista para finales de mayo de 2022);
  - Bosch MATRIX versión 3.9 (esperada a mediados de mayo de 2022).

[Actualización 14/10/2022]

Para el producto Lumada Asset Performance Manager (APM) de Hitachi Energy:
- aplicar los parches: 6.0.0.5, 6.1.0.2, 6.2.0.4 o 6.3.0.3 o;
- actualizar a las versiones: 6.2.0.3, 6.4.0.0.

Detalle

La vulnerabilidad Spring4Shell afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en JDK 9+. El exploit requiere que la aplicación se ejecute en Tomcat como un despliegue WAR. Si la aplicación se despliega como un JAR ejecutable de Spring Boot (configuración por defecto) no es vulnerable.

La explotación de esta vulnerabilidad requiere un endpoint con DataBinder habilitado y depende en gran medida del contenedor de servlets de la aplicación. Se ha asignado el identificador CVE-2022-22965 para esta vulnerabilidad.