Umeå universitets logga

umu.sePublikationer
EnglishSvenskaNorsk
Ändra sökning
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
Sleeping giants: activating dormant java deserialization gadget chains through stealthy code changes
Umeå universitet, Teknisk-naturvetenskapliga fakulteten, Institutionen för datavetenskap.
Umeå universitet, Teknisk-naturvetenskapliga fakulteten, Institutionen för datavetenskap.
Umeå universitet, Teknisk-naturvetenskapliga fakulteten, Institutionen för datavetenskap.ORCID-id: 0000-0001-7486-0538
Umeå universitet, Teknisk-naturvetenskapliga fakulteten, Institutionen för datavetenskap.ORCID-id: 0000-0003-1383-0372
2025 (Engelska)Ingår i: CCS 2025 - Proceedings of the 2025 ACM SIGSAC Conference on Computer and Communications Security, Association for Computing Machinery (ACM), 2025, s. 2668-2682Konferensbidrag, Publicerat paper (Refereegranskat)
Abstract [en]

Java deserialization gadget chains are a well-researched critical software weakness. The vast majority of known gadget chains rely on gadgets from software dependencies. Furthermore, it has been shown that small code changes in dependencies have enabled these gadget chains. This makes gadget chain detection a purely reactive endeavor. Even if one dependency's deployment pipeline employs gadget chain detection, a gadget chain can still result from gadgets in other dependencies. In this work, we assess how likely small code changes are to enable a gadget chain. These changes could either be accidental or intentional as part of a supply chain attack. Specifically, we show that class serializability is a strongly fluctuating property over a dependency's evolution. Then, we investigate three change patterns by which an attacker could stealthily introduce gadgets into a dependency. We apply these patterns to 533 dependencies and run three state-of-the-art gadget chain detectors both on the original and the modified dependencies. The tools detect that applying the modification patterns can activate/inject gadget chains in 26.08% of the dependencies we selected. Finally, we verify the newly detected chains. As such, we identify dormant gadget chains in 53 dependencies that could be added through minor code modifications. This both shows that Java deserialization gadget chains are a broad liability to software and proves dormant gadget chains as a lucrative supply chain attack vector.
Ort, förlag, år, upplaga, sidor
Association for Computing Machinery (ACM), 2025. s. 2668-2682
Nyckelord [en]
Bug Injection, Dependency, Deserialization, Gadget Chain, Java, Serializable, Software Supply Chain
Nationell ämneskategori
Sannolikhetsteori och statistik
Identifikatorer
URN: urn:nbn:se:umu:diva-247646DOI: 10.1145/3719027.3765031Scopus ID: 2-s2.0-105023841964ISBN: 9798400715259 (digital)OAI: oai:DiVA.org:umu-247646DiVA, id: diva2:2023308
Konferens
32nd ACM SIGSAC Conference on Computer and Communications Security, CCS 2025, Taipei, Taiwan, October 13-17, 2025.
Forskningsfinansiär
Wallenberg AI, Autonomous Systems and Software Program (WASP)Tillgänglig från: 2025-12-19 Skapad: 2025-12-19 Senast uppdaterad: 2025-12-19Bibliografiskt granskad

Open Access i DiVA

fulltext(1906 kB)184 nedladdningar
Filinformation
Filnamn FULLTEXT01.pdfFilstorlek 1906 kBChecksumma SHA-512
58220b49c6297d06cbf91b857dc60bdbe2a425352c35da39d97fcafb47af1db578fa48b05ca3371c228462f08fe78ac55759c692ae70f61294f720cf1b6a3a28
Typ fulltextMimetyp application/pdf

Övriga länkar

Förlagets fulltextScopus

Person

Kreyssig, BrunoHouy, SabineRiom, TimothéeBartel, Alexandre

Sök vidare i DiVA

Av författaren/redaktören
Kreyssig, BrunoHouy, SabineRiom, TimothéeBartel, Alexandre
Av organisationen
Institutionen för datavetenskap
Sannolikhetsteori och statistik

Sök vidare utanför DiVA

GoogleGoogle Scholar
Antalet nedladdningar är summan av nedladdningar för alla fulltexter. Det kan inkludera t.ex tidigare versioner som nu inte längre är tillgängliga.

doi
isbn
urn-nbn

Altmetricpoäng

doi
isbn
urn-nbn
Totalt: 435 träffar
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
v. 2.47.0
|
WCAG
|
Logga in
|
Manualer
|
Kontakta biblioteket