Le framework de développement Spring est touché par 2 vulnérabilités de type RCE (Remote Code Execution): la CVE-2022-22965 (Spring4Shell) et la CVE-2022-22963 (Spring Cloud vulnerabilité). Le Web Application Firewall de F5 permet de mitiger ces 2 vulnérabilités à l’aide de plusieurs signatures à activer. Dans cet article nous allons voir comment gagner en visibilité sur ces politiques de sécurité afin de rapidement identifier celles qui ne disposent pas de ces signatures. De plus, nous allons automatiser le déploiement de ces signatures sur les différentes politiques WAF.

Pour arriver à ce but, nous allons passer par nos 2 solutions maisons:  “Analytics Tool for F5” pour la partie visibilité et “Device Manager“ pour la partie automatisation.

L’implémentation de ces use-cases se basent sur ce qui avait été développé pour la vulnérabilité Log4J:

Dans l’idée, il s’agit simplement d’intégrer les signatures pour ces nouvelles vulnérabilités.

Gagner en visibilité

F5 a publié la liste des signatures pour mitiger ces 2 vulnérabilités. Afin d’améliorer la visibilité, nous fournissons un dashboard dans notre solution “Analytics Tool for F5” qui permet de voir pour chaque politique de sécurité WAF si elles disposent de ces signatures:

Ce dashboard récupère la liste de toutes les politques WAF sur les F5 gérés par la solution ainsi que que leurs signatures activées afin d’afficher clairement celles qui ne disposent pas, ou seulement partiellement, des signatures permettant de mitiger les vulnérabilités Spring.

 Les différentes resources utilisées pour construire ce dashboard se trouvent dans notre dépôt sur Github:

Automatiser le déploiement des signatures

L’idée consiste ici à activer les signatures pour mitiger ces vulnérabilités sur les différentes politiques WAF. Nous partons donc ici du principe que la liste des signatures est à jour sur les F5.

Pour automatiser l’activation de ces signatures, il nous faut créer un script dans Tasks >> Scripts qui s’appellera cette fois asm-signtatures-cve-spring4shell et qui est de type « iscript » avec le contenu suivant :

Il suffit maintenant de créer une nouvelle tâche pour appeler ce script :

Si un utilisateur exécute la tâche il sera prompté avec le formulaire suivant :

Il n’aura alors plus qu’à saisir le nom du device ou du tag et les signatures seront automatiquement activées sur toutes les politiques WAF.

Conclusion

Nous avons vu dans cet articles 2 outils pour, d’une part gagner en visibilité sur les vulnérabilités Spring4Shell et Spring Cloud, et d’autre part pour les mitiger en activant les bonnes signatures WAF de façon automatisée.

Pour plus d’information, n’hésitez pas à nous contacter.

Pensez aussi à consulter nos autres use-cases pour « Analytics Tool for F5 » et “Device Manager”