簡述

近日，Spring官方通報了Spring相關框架中存在遠程代碼執(zhí)行漏洞，官方發(fā)布了Spring Framework 5.3.18和5.2.20的補丁修復了該漏洞，且依賴 Spring Framework 5.3.18 的 Spring Boot 2.6.6 和 2.5.12 已經(jīng)發(fā)布。該漏洞會影響在 JDK 9+ 上運行的 Spring MVC 和 Spring WebFlux 應用程序。具體的利用需要應用程序作為 WAR 部署在 Tomcat 上運行。如果應用程序被部署為 Spring Boot 可執(zhí)行 jar，即默認值，則它不易受到漏洞利用。

漏洞評級：嚴重

CVE編號：CVE-2022-22965

受影響版本：Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 以及更早的版本

官方公布出的利用條件：

JDK版本：Jdk9+

Servlet容器：Apache Tomcat

部署方式：WAR部署

依賴項：spring-webmvc 或 spring-webflux 依賴項

漏洞版本：Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 以及更早的版本

此漏洞可以通過使用一個簡單的request就可以寫入shell。攻擊者可以利用該漏洞在服務器寫入日志，寫入shell后就可以實現(xiàn)遠程代碼執(zhí)行。該漏洞POC很可能已經(jīng)被擴散，有安全機構已經(jīng)監(jiān)測到該攻擊行為。建議使用了Spring框架組件的客戶盡快安排檢查是否受漏洞影響，并采取措施防止漏洞攻擊。

目前流傳最廣的POC中，payload包含以下特征：

漏洞排查

1. 目前項目使用的jdk版本排查，jdk版本好<=8，暫不受漏洞影響。

2. 檢查是否使用了 sprig-beans-*.jar文件。

修復建議

官方修復建議：

目前官方已經(jīng)發(fā)布補丁，可升級至安全版本(https://github.com/spring-projects/spring-framework/commit/002546b3e4b8d791ea6acccb81eb3168f51abb15)

臨時修復建議：

使用waf防護的用戶，根據(jù)業(yè)務實際部署情況，可以添加對"class.module.*"，".getRuntime()."字符串添加規(guī)則過濾。在部署完畢后，要對規(guī)則測試，避免產(chǎn)生不必要影響。

在應用中全局搜索@InitBinder 注解，看方法體內是否調用dataBinder.setDisallowedFields方法，如果發(fā)現(xiàn)代碼中有調用該方法，則在原來的黑名單中添加"class.module.*"。注意：如果此代碼片段使用較多，需要每個地方都追加。

目前，該漏洞的poc及多種變種利用方式已經(jīng)在網(wǎng)上傳播。漏洞細節(jié)請參考官方漏洞公告。

Spring 官方漏洞公告(https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement)

星闌科技螢火API安全分析平臺已支持此漏洞利用方式檢測。有相關需求的可以在公眾號進行留言，或添加“小闌本闌（微信號: XL3384627010）”客服進行咨詢。

相關知識

Windows核彈漏洞披露！CVE
【漏洞通告】Apache Log4j2 遠程代碼執(zhí)行漏洞（CVE
研究人員披露GE HealthCare超聲波醫(yī)療設備漏洞，能被用于部署惡意程序
研究人員揭露GE HealthCare超音波醫(yī)療設備漏洞，並指出能被用於部署惡意程式、搜刮病人檢查結果
安全知識，等保，密評，網(wǎng)絡安全
官方通報ComfyUI存多個高危漏洞：已被境外黑客利用對我國網(wǎng)絡實施攻擊
2024漏洞風險啟示錄：在攻防的螺旋中尋找「治愈」之道
云安全日報201026：Linux內核發(fā)現(xiàn)數(shù)據(jù)泄露和特權升級漏洞，需要盡快升級
IngressNightmare：Ingress Nginx 再曝5個安全漏洞，可接管你的 K8s 集群
李建軍教授：降脂藥物治療及其他措施要點解讀

網(wǎng)址: CVE http://m.u1s5d6.cn/newsview1816844.html