ID de l'avis : onespan-sa-20220404-spring4shell
Numéro de révision : 1.2
Date et heure de publication : 21 avril 2022 17:00 UTC
Date et heure dela dernière mise à jour : April 21 2022 17:00 UTC
Résumé
Plusieurs vulnérabilités de premier plan ont été identifiées dans le populaire Java Spring Framework et les composants logiciels associés. Ces vulnérabilités sont connues sous le nom de Spring4Shell.
Les quatre vulnérabilités suivantes ont été identifiées jusqu'à présent :
- La vulnérabilité CVE-2022-22947 permet d'effectuer une attaque par exécution de code à distance contre les applications utilisant Spring Cloud Gateway. Elle affecte les versions 3.1.0, 3.0.0 à 3.0.6, ainsi que les anciennes versions non prises en charge. Elle est corrigée dans les versions 3.1.1 et supérieures, et 3.0.7 et supérieures.
- La vulnérabilité CVE-2022-22950 permet d'effectuer une attaque par déni de service contre les applications utilisant Spring Framework. Elle affecte les versions 5.3.0 à 5.3.16 et les versions antérieures non prises en charge. Elle est corrigée dans la version 5.3.17.
- La vulnérabilité CVE-2022-22963 permet d'effectuer une attaque par exécution de code à distance contre les applications utilisant la fonction Spring Cloud. Elle affecte les versions 3.1.6, 3.2.2 et les versions antérieures non supportées. Elle est corrigée dans les versions 3.1.7 et 3.2.3.
- La vulnérabilité CVE-2022-22965 permet de réaliser une attaque par déni de service contre les applications utilisant Spring MVC ou Spring WebFlux. Elle affecte les versions 5.3.0 à 5.3.17, 5.2.0 à 5.2.19 de Spring Framework, ainsi que d'anciennes versions non supportées. Elle est corrigée dans les versions 5.3.18 et 5.2.20. La vulnérabilité ne peut être exploitée que sous certaines conditions, c'est-à-dire que l'application doit utiliser le JDK 9 ou une version plus récente, utiliser Apache Tomcat comme conteneur de servlets et être empaquetée sous la forme d'un WAR traditionnel (ce qui n'est pas l'approche par défaut).
Cet avis de sécurité contient des informations sur le risque de sécurité que les vulnérabilités de Spring4Shell présentent pour les produits SaaS et on-premises de OneSpan, fournit des informations sur les mesures compensatoires pertinentes pour les clients on-premises, et fournit des informations sur la disponibilité des correctifs.
Évaluation des risques liés aux produits et solutions de OneSpan
1) Solutions SaaS de OneSpan
OneSpan Sign Production et Sandbox
Les vulnérabilités ne s'appliquent pas à OneSpan Sign car il n'utilise pas Oracle Java 1.9+. De plus, OneSpan Sign est équipé d'un Web Application Firewall (WAF), qui inspecte tout le trafic web entrant. Nous avons configuré le WAF pour détecter et bloquer les tentatives d'exploitation des vulnérabilités de Spring4Shell.
Environnement FedRAMP de OneSpan Sign
Les vulnérabilités ne s'appliquent pas à OneSpan Sign FedRAMP car il n'utilise pas Oracle Java 1.9+. En outre, cet environnement est équipé de Web Application Proxies (WAP), qui effectuent une pré-authentification de la plupart des demandes adressées à OneSpan Sign.
OneSpan Cloud Authentication (OCA) et Intelligent Adaptive Authentication (IAA) basés sur la plateforme Trusted Identity (TID)
Les solutions OCA et IAA n'utilisent pas une version vulnérable du Java Spring Framework et ne sont donc pas affectées par cette vulnérabilité. En outre, les environnements de mise en scène/production d'OCA et d'IAA sont protégés par une liste blanche d'adresses IP et une sécurité de couche de transport (TLS) avec authentification TLS mutuelle. Ainsi, seuls les clients authentifiés peuvent accéder aux applications web et aux API de ces solutions. Les adversaires ne peuvent pas accéder aux environnements Sandbox de l'OCA et de l'IAA sans créer un compte sur le portail communautaire de OneSpan.
Solutions de vérification d'identité (IDV) et DealFlo v2 de OneSpan
Les vulnérabilités ne s'appliquent pas aux solutions Identity Verifcation et DealFo v2 car elles n'utilisent pas Oracle Java 1.9+. En outre, les environnements de production d'IDV et de DealFlo v2 sont protégés par une authentification basée sur des jetons d'accès. Ainsi, seuls les clients authentifiés peuvent accéder aux applications web et aux API de ces solutions.
Portail Application Shielding
Le portail Application Shielding n'utilise pas le Java Spring Framework et n'est donc pas concerné par cette vulnérabilité.
2) Produits serveur OneSpan sur site
Cadre du serveur d'authentification
Authentication Server Framework n'utilise pas le Java Spring Framework et n'est donc pas concerné par cette vulnérabilité.
Serveur d'authentification
Le serveur d'authentification n'utilise pas le Java Spring Framework et n'est donc pas concerné par cette vulnérabilité.
Serveur d'authentification Appliance
Le serveur d'authentification n'utilise pas le Java Spring Framework et n'est donc pas concerné par cette vulnérabilité.
Passerelle Digipass
Un composant du produit Digipass Gateway utilise Java Spring Framework. Cependant, Digipass Gateway n'utilise pas le JDK 9+. Par conséquent, Digipass Gateway n'est pas vulnérable.
Risk Analytics
GIS Location Server, un composant de Risk Analytics, est vulnérable aux CVE-2022-22965 et CVE-2022-22950 s'il est utilisé avec le JDK 9 ou supérieur. OneSpan a publié un correctif pour remédier à cette vulnérabilité.
Digipass Native Bridge
Digipass Native Bridge n'utilise pas le Java Spring Framework et n'est donc pas concerné par cette vulnérabilité.
OneSpan Sign
Les vulnérabilités ne s'appliquent pas à OneSpan Sign car il n'utilise pas Oracle Java 1.9+.
3) Produits d'authentification OneSpan Digipass
Les produits d'authentification mobile de OneSpan n'utilisent pas le Java Spring Framework et ne sont donc pas concernés par cette vulnérabilité.
Gestion des fournisseurs
OneSpan s'engage auprès de ses fournisseurs et partenaires qui contribuent à la livraison et au support de ses produits et solutions afin de comprendre leur exposition aux vulnérabilités et les mesures qu'ils prennent pour atténuer la vulnérabilité, le cas échéant.
Corrections et solutions de contournement
Corrections et solutions de contournement :
Produit | Composant | Versions concernées | Type de correction |
Analyse des risques | Serveur de géolocalisation GIS | 2.11 - 2.14 | Correctif |
Obtenir des versions de produits avec correctifs
Les clients disposant d'un contrat de maintenance peuvent obtenir des versions de produits corrigées à partir du portail client. Les clients qui n'ont pas de contrat de maintenance doivent contacter leur représentant local.
Références
[1] https://tanzu.vmware.com/security/cve-2022-22947
[2] https://tanzu.vmware.com/security/cve-2022-22950
[3] https://spring.io/blog/2022/03/29/cve-report-published-for-spring-cloud-function
[4] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
Clause de non-responsabilité
BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT DÉPLOYÉS POUR TRAITER ET FOURNIR DES INFORMATIONS EXACTES, L'ENSEMBLE DU CONTENU ET DES INFORMATIONS DE CE DOCUMENT SONT FOURNIS "EN L'ÉTAT" ET "TELS QUE DISPONIBLES", SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE GARANTIE EXPRESSE OU IMPLICITE D'ACTUALITÉ, D'EXHAUSTIVITÉ OU D'ADÉQUATION, NI AUCUNE GARANTIE, Y COMPRIS LES GARANTIES DE QUALITÉ MARCHANDE OU D'ADÉQUATION À UN USAGE OU À UN BUT PARTICULIER. L'UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE TOUT MATÉRIEL LIÉ À CE DOCUMENT SE FAIT À VOS PROPRES RISQUES. ONESPAN SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DE NOUVELLES INFORMATIONS OU DES INFORMATIONS SUPPLÉMENTAIRES DEVIENNENT DISPONIBLES.
Copyright © 2021-2022 OneSpan North America, Inc. Tous droits réservés.