Word ik geraakt door de kwetsbaarheid in Spring4Shell / Spring Core Framework ( CVE-2022-22965)?

(Update:  05.05.2022  13:10 uur)

Laatste update

Word ik geraakt door de kwetsbaarheid in Spring4Shell / Spring Core Framework  ( CVE-2022-22965)?

Op dit moment zijn we zijn aan het onderzoeken of/welke implicaties er zijn voor onze software.

• Algemene informatie Spring4Shell kwetsbaarheid

• Cadac producten (resultaten klik hier)

• Autodesk producten (Uitkomst klik hier)

Algemene informatie Spring4Shell kwetsbaarheid

Er is op dit moment een high/high kwetsbaarheid aangetroffen in de het Spring Core Framework met de naam Spring4Shell (

CVE-kenmerk: CVE-2022-22965.) Spring Core Framework is een set van Java libraries waarmee op gestructureerde wijze applicaties kunnen worden ontwikkeld die vervolgens zowel standalone kunnen draaien of in webapplicatie-omgevingen als Tomcat. 

kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige code uit te voeren in de scope van de ontwikkelde applicatie, en mogelijk daarmee toegang kan krijgen tot gevoelige informatie binnen die applicatie. 

Vooralsnog zijn nog geen geslaagde pogingen om deze kwetsbaarheid actief te misbruiken waargenomen. 

Omdat niet valt vast te stellen met welke rechten de applicatie actief is, kan misbruik van deze kwetsbaarheid mogelijk leiden tot de uitvoer van willekeurige code met verhoogde rechten op het onderliggende systeem.

Er zijn op dit moment diverse randvoorwaarden bekend waaraan voldaan moet worden om de kwetsbaarheid te kunnen misbruiken. De applicatie:

• maakt gebruik van Spring Core Framework (tot en met versie 5.3.17);
• maakt gebruik van form bindings met "name=value" data;
• maakt geen gebruik van een allowlist of denylist waarbij het gebruik van specifieke velden wordt uitgesloten (zoals "class", "module" en "classLoader");
• draait op Java 9 of hoger

Hierdoor valt het aantal applicaties die kwetsbaar zijn lager uit in vergelijking met Log4j. 

Meer info: https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/#the-current-situation

Worden Cadac producten geraakt door Spring4shell?

NedGeoservices -> risico alleen in combinatie met java 9+

-   NedGeoservices kan in combinatie met zowel Java 8 als Java 11 gebruikt worden. Gebruikers die NedGeoservices draaien op Java 8 zijn niet vatbaar voor de kwetsbaarheid CVE-2022-22965.

-   Op dit moment wordt gewerkt aan NedGeoservices versie 3.3.7. In deze versie zal Apache Tomcat geüpdatet worden naar versie 9.0.62. In deze versie van Tomcat wordt het misbruik gemitigeerd. Houdt u de download portal in de gaten voor de releasedatum van NedGeoservices 3.3.7. Deze release wordt verwacht in de week van 16-20 mei.

NedBGT-dashboard -> Indirect risico 

NedBGT-dashboard maakt gebruik van GeoServer. GeoServer maakt gebruik van de genoemde Java libraries. Uit het onderzoek van GeoServer blijken de genoemde Java libraries via GeoServer voor alsnog niet misbruikt te kunnen worden (zie Spring RCE vulnerability (geoserver.org) ).

Meer informatie over het NedBGT Dashboard en deze kwetsbaarheid is hier te vinden.

Ook hier geldt dat zodra Geoserver gepatcht is (wordt door de GeoServer comunity aan gewerkt),  dan zal deze nieuwe versie van GeoServer geïmplementeerd wordt.

Cadac smartGlobe -> Indirect risico

De Cadac smartGlobe Aeronautical Charting Solution maakt voor AIXM 5.1 data import gebruik van een server applicatie die is gebaseerd op het Spring Framework. Een eerste analyse doet vermoeden dat het gevonden beveiligingslek geen gevolgen heeft voor deze applicatie vanwege de volgende redenen:

1. De applicatie is gebaseerd op de Java 8 SDK terwijl de kwetsbaarheid zit in Java 9;
2. Als platform wordt momenteel alleen Oracle WebLogic server ondersteund. De applicatie is dus niet leverbaar voor Apache Tomcat waarin de kwetsbaarheid is gevonden.

Deze conclusie is gebaseerd op de informatie van de leverancier van het Spring Framework: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#am-i-impacted

Cadac Producten -> Geen risico 

De onderstaande producten bevatten geen Spring 4 shell / Spring Core framework. 

• Cadac Nxtdim
• Cadac Organice Vault
• Epicor (Kbmax)
• FME server
• GEOCAD
• IGOS
• NedArchiveren
• NedBRK
• NedBrowser
• NedGlobe
• NedInfra
• NedInwinning
• NedMagazijn (Basis/Kern)
• NedOmgeving
• NedPlan
• NedValidatie 
• NedWibon
• NGdW
• Nordined (LT)
• SurveyInterface
• Techline
• TheModus Essential
• TheModus Model Extender
• TheModus Professional (Cadac-Revit)
• TopoCAD

Worden Autodesk producten geraakt door de Spring4shell?

Ondanks dat Autodesk de kwetsbare bibliotheken gebruikt, gebruiken zij deze op een manier die niet kwetsbaar is (d.w.z. gedeployed als jar vs war).

Er is ook een Web Application Firewall (WAF)-laag toegepast bovenop onze Application Programming Interface (API) om log4j-kwetsbaarheden te verminderen.

bovenstaand antwoord is op basis van het volgende kennisbank artikel van Autodesk:
https://knowledge.autodesk.com/support/recap/troubleshooting/caas/sfdcarticles/sfdcarticles/Are-Autodesk-products-impacted-by-Spring4Shell.html