Auslöser / Ursache

Durch regelmäßige Abhängigskeits-Scans in unserer Build-Pipeline wurde ein CVE angezeigt, welcher auf mögliche Lücken Hinwies:

https://nvd.nist.gov/vuln/detail/CVE-2016-1000027

Hersteller-Dokumentation der betroffenen Komponente:

https://docs.spring.io/spring-framework/docs/current/reference/html/integration.html#remoting-httpinvoker 

In einer weiteren Analyse lässt sich die Ausnutzung auf die Java Serialisierung zurückführen, im spezifischen Fall wird eine Komponente von Spring (HttpInvoker) angreifbar für eine sogenannte Remote Code Execution.
Dies bedeutet, mit einer präparierter Anfrage deserialisiert Java/Spring das ankommende Binär-Objekt zu einer Java-Klasse welche wenn selbst verändert Mittels Reflection Java-Programmcode ausführt, der Angreifer kann auf dem entfernten Server jegliches Kommando ausführen als Unterprozess vom Serverprozess.

Möglich wird dies in Nuclos dadurch, dass die Kommunikation mit dem Rich-Client über besagte Schnittstelle läuft welche über HTTP/HTTPS zu dem Server transportiert wird.
Jeder der Zugriff auf den Nuclos-Server (Webclient / REST / Richclient) hat, kann eine solche präparierte Anfrage an den Server senden. 

Ziel-Url ist zum Beispiel:
<base-server-url>/<application context e.g nuclos>/remoting/ServerMetaService

Maßnahmen

• Sollte Nuclos im Internet erreichbar sein per HTTP auch für den Richclient sollte umgehend im Proxy oder Webserver die Remoting Schnittstelle geblockt werden und/oder nur für einen vertrauenswürdigen IP-Bereich freigegeben werden.
  Dies betrifft alle URLs die */remoting/* enthalten. 
  
  
• Mit Nuclos Version 4.2022.14 wird es in der Installation einen Punkt geben der die Kommunikation für den Richclient/Remoting einschränkt, außerdem wird es einen neuen Server Parameter geben um IP-Bereiche zu definieren.