CVE-2022-22965 - セキュリティ脆弱性 Spring4shell - Spring Framework

脆弱性に関する声明

Spring4Shellソフトウェアの脆弱性報告を受けた後、Nexthinkセキュリティチームはシステムへの影響を判断するための分析を行いました。

脆弱性の概要

• Spring Frameworkは、Javaプラットフォーム向けのアプリケーションフレームワークおよび制御の反転コンテナです。

• 2022年3月31日に、Spring Frameworkに影響を与える重大な脆弱性（CVE-2022-22965）が報告され、ベンダーからのパッチが提供されました。

• この脆弱性は、野生で広く悪用されています。

Collectorとクライアント側のコンポーネントは影響を受けたか？

Collectorとクライアント側のコンポーネント（Finder、Data Enricher、Event Connector、チャットボットSDK）は、影響を受けたライブラリを使用していません。

Nexthink Experienceプラットフォームは影響を受けたか？

クラウドベースのコンポーネントは、影響を受けた構成内でライブラリを使用していません。

Nexthinkの企業ネットワークとサプライチェーンは影響を受けたか？

セキュリティチームは、第三者ベンダーと共同で脆弱性評価を行い、この脆弱性が提供されるサービスに影響を与えないことを確認しました。

Nexthinkはどのようにして製品の脆弱性対策を行っているか？

エンジニアリングセキュリティポリシーおよび脆弱性管理ポリシー（NDAの下で共有可能）は、これらの脆弱性を検出し、軽減し、パッチを適用するために適用する高レベルの原則を説明しています。 安全なソフトウェア開発ライフサイクルは、セキュリティプログラムの不可欠な部分です。 Nexthinkは、製品およびクラウド提供のリリースに至るまで、初期設計段階からの脆弱性を検出するために複数のセキュリティコントロールを実装しました。 それは、設計レビュー、各種コンポーネントの侵入テスト、脆弱性スキャン、サードパーティライブラリの評価、コードレビューを含みますが、それに限定されません。

参考資料

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement