La Cybersecurity and Infrastructure Agency (CISA) statunitense ha aggiunto Spring4Shell al proprio elenco delle vulnerabilità sfruttate conosciute. La decisione è giustificata dalle numerose segnalazioni di scansione, tentativi di sfruttamento mediante la distribuzione di una shell web su sistemi vulnerabili.

I ricercatori di Check Point hanno calcolato che nel primo fine settimana dalla scoperta delle vulnerabilità, ci sono stati 37.000 tentativi di sfruttamento, che in soli quattro giorni hanno colpito il 16% delle aziende a livello globale. Il settore più colpito è stato quello dei fornitori software, con il 28% di aziende colpite. Sul piano geografico, la regione più colpita è stata l'Europa, con un impatto del 20%.

Sono i dati pubblicati da Check Point, a cui fa seguito una lunga serie di considerazioni accessorie. Fortunatamente, come sottolinea la CISA, sembra che non sia ancora stato documentato uno sfruttamento riuscito delle falle. Il fatto che ci siano state forti attività di scansione è in realtà un denominatore comune di tutti gli attacchi RCE – storicamente parlando.

Il numero uno del SANS Institute ha sottolineato che il precedente di Log4j ha fatto sì che l'industria della security si muovesse rapidamente con gli alert relativi a Spring4Shell, e reputa improbabile che il bug causi gli stessi problemi. Prima di tutto perché le attività di scansione sembrano molto inferiori a quelle viste con Log4shell. Inoltre, non esiste un exploit unico per tutti i sistemi. La “sfruttabilità” delle falle dipende dall'applicazione, oltre che dall'utilizzo di un particolare framework.

Nulla di tutto questo però controverte il fatto che Spring4Shell è una vulnerabilità classificata come critica, e come tale dev’essere gestita, ossia con il patching immediato. Anche perché la maggior parte delle versioni recenti di Spring scaricate (81%) è potenzialmente vulnerabile, e se dovesse arrivare un exploit funzionante e universale i potenziali danni sarebbero devastanti.