Ataque Cast: bits fantasmas em Java como uma nova classe de ataques diferenciais de parser

☕ Ataque Cast: bits fantasmas em Java como uma nova classe de ataques diferenciais de parser

Na Black Hat Asia 2026, pesquisadores identificaram um padrão sistêmico no ecossistema Java: operações como (byte) ch, ch & 0xff e OutputStream.write(int) convertem implicitamente um char de 16 bits para um byte, descartando os 8 bits superiores. Os autores denominaram esse fenômeno de bits fantasmas e identificaram mais de 8.000 ocorrências através de análise estática.

Isso leva a um novo tipo de diferencial de parser: um WAF ou frontend processa uma string Unicode válida, enquanto um componente downstream, após o truncamento de bits, interpreta-a como ASCII com semântica diferente. Um exemplo canônico: 陪 (U+966A) torna-se 0x6A (j), então o caminho 1.陪 sp é armazenado como 1.jsp, contornando a filtragem baseada em extensão.

O impacto confirmado inclui Tomcat, Spring (CVE-2025-41242), Jetty, Apache HttpClient, JDK HttpServer (CVE-2026-21933), Jackson, fastjson e outros componentes. Um dos vetores mais críticos é a injeção SMTP no Eclipse Angus Mail (CVE-2025-7962). Como o Angus Mail é amplamente usado como dependência transitiva, o problema propagou-se para Confluence, Jira, Bitbucket, Keycloak e TeamCity (CVE-2025-57733). No Jira, isso permite o abuso do backend de e-mail corporativo para enviar e-mails de phishing com assinaturas válidas de SPF, DKIM e DMARC.

📎 Ghost‑Bits‑Scanner: https://github.com/GeetoRinku/Ghost-Bits-Scanner

💬 Discutir