Pada akhir Maret 2022, komunitas keamanan siber dihebohkan dengan ditemukannya kerentanan kritis yang dijuluki Spring4Shell, yaitu celah keamanan yang menyerang Spring Framework — sebuah open-source framework yang sangat populer digunakan dalam pengembangan aplikasi berbasis Java. Kerentanan ini memungkinkan terjadinya serangan Remote Code Execution (RCE) melalui mekanisme data binding pada aplikasi yang berjalan di lingkungan tertentu. CVE-2022-22965 diberikan sebagai kode identifikasi resmi kerentanan ini, dan hasil evaluasi menunjukkan bahwa tingkat keparahannya sangat tinggi dengan skor CVSS v3.0 sebesar 9.8, yang masuk kategori CRITICAL.
Kerentanan ini secara khusus memengaruhi produk Spring MVC dan Spring WebFlux yang dijalankan pada JDK versi 9 ke atas, dengan pengemasan aplikasi menggunakan format traditional WAR yang berjalan di atas Apache Tomcat sebagai Servlet Container. Versi-versi Spring Framework yang terdampak meliputi 5.3.0 hingga 5.3.17, 5.2.0 hingga 5.2.19, serta versi yang lebih lama. Kombinasi antara komponen dan konfigurasi tertentu ini menciptakan kondisi yang dapat dimanfaatkan oleh penyerang untuk mengeksekusi kode berbahaya dari jarak jauh, membuka potensi terhadap pencurian data, pengambilalihan sistem, hingga penyebaran malware lebih lanjut di dalam jaringan internal organisasi.
Satu celah kecil dalam framework bisa menjadi titik awal kehancuran sistem besar. Ketepatan mitigasi adalah kunci keamanan berkelanjutan.
Sebagai langkah mitigasi, para pengembang dan administrator sistem disarankan segera memperbarui framework ke versi terbaru, baik untuk Spring Framework maupun Spring Boot. Selain itu, pengguna juga diimbau untuk melakukan pembaruan pada versi Apache Tomcat dan melakukan penyesuaian konfigurasi, seperti menonaktifkan binding terhadap field tertentu (disallowed fields), serta mempertimbangkan untuk sementara melakukan downgrade ke versi Java 8 jika memungkinkan dan sesuai kebutuhan sistem. Langkah-langkah ini penting untuk memblokir jalur eksploitasi yang dimungkinkan oleh kerentanan tersebut. Panduan teknis lengkap mengenai perbaikan dan pembaruan resmi dapat diakses melalui dokumen resmi yang tersedia.
Informasi lengkap mengenai Peringatan Keamanan Kerentanan Remote Code Execution pada Spring Framework (CVE-2022-22965) dapat diunduh di sini.
Biro Hukum dan Komunikasi Publik BSSN
