WhiteSource lança ferramenta gratuita para detectar e corrigir vulnerabilidade Spring4Shell

A WhiteSource lançou o WhiteSource Spring4Shell Detect, uma ferramenta de interface de linha de comando (CLI) gratuita que verifica rapidamente projetos para encontrar bibliotecas de código aberto vulneráveis ​​para CVE-2022-22965, também conhecido como Spring4Shell.

Spring4Shell é uma vulnerabilidade de execução remota de código (RCE) no Spring, uma das estruturas de código aberto mais populares para aplicativos Java em uso atualmente. Enquanto ainda estamos aprendendo sobre essa vulnerabilidade, seu impacto provavelmente é semelhante ao do Log4j e é considerado extremamente crítico com uma pontuação de gravidade de 9,8. A ferramenta de desenvolvedor gratuita do WhiteSource, que já está disponível no GitHub , fornece aos desenvolvedores o caminho exato para dependências diretas e indiretas, juntamente com a versão corrigida, para uma correção rápida.

“As organizações e equipes de segurança devem abordar o Spring4Shell com a mesma atenção e urgência que fizeram com a recente vulnerabilidade do Log4j”, disse Rami Sass, CEO da WhiteSource. “Esta vulnerabilidade destaca a importância de uma abordagem proativa à segurança de software e a necessidade de uma segurança de aplicativos mais automatizada a ser incorporada ao ciclo de vida do desenvolvimento. Certifique-se de que você está lidando com sua dívida técnica e atualize.”

Dado o potencial impacto e risco generalizados dessa vulnerabilidade de dia zero, a WhiteSource recomenda que as organizações tomem as seguintes etapas para abordar e evitar instâncias semelhantes no futuro:

  • Faça um inventário de toda a sua lista de aplicativos para identificar todas as instâncias do CVE-2022-22965. Isso pode ser feito usando a ferramenta de detecção gratuita do WhiteSource.
  • Atualize suas versões vulneráveis ​​do Spring Framework para a versão mais recente. Use ferramentas como o WhiteSource Renovate, que pode atualizar automaticamente suas bibliotecas com as correções mais recentes disponíveis.
  • Gere uma lista de materiais de software (SBOM) para todos os aplicativos em seu ambiente. Um SBOM fornece visibilidade a toda a sua superfície de ataque de software — dependências diretas e transitivas — e ajuda você a reagir rapidamente a anúncios de vulnerabilidades.

O WhiteSource Renovate, que possui mais de cem milhões de downloads, atualiza automaticamente as dependências e já identificou e mitigou a vulnerabilidade Spring4Shell para dezenas de milhares de empresas em todo o mundo.

Fonte: https://www.helpnetsecurity.com/