奇安信CERT
致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。
安全通告
漏洞名稱
Spring Framework遠程代碼執行漏洞
公開時間
2022-03-29
更新時間
2022-03-31
CVE編號
CVE-2022-22965
其他編號
QVD-2022-1691
CNVD-2022-23942
威脅類型
遠程代碼執行
技術類型
任意文件寫入
廠商
Spring
產品
Spring Framework
風險等級
奇安信CERT風險評級
風險等級
極危
藍色(一般事件)
現時威脅狀態
POC狀態
技術細節狀態
已發現
已發現
已發現
已公開
漏洞描述
Spring Framework存在遠程代碼執行漏洞,在 JDK 9 及以上版本環境下,遠程攻擊者可利用該漏洞寫入惡意代碼導致遠程代碼執行漏洞。
影響版本
Spring Framework 5.3.X < 5.3.18
Spring Framework 5.2.X < 5.2.20
註:其他小版本未更新均受影響
不受影響版本
Spring Framework == 5.3.18
Spring Framework == 5.2.20
其他受影響組件
任何引用Spring Framework的衍生產品
漏洞信息
Spring Framework是一個開源應用框架,旨在降低應用程序開發的複雜度。它是輕量級、鬆散耦合的。它具有分層體系結構,允許用戶選擇組件,同時還為J2EE應用程序開發提供了一個有凝聚力的框架。
近日,奇安信CERT監測到Spring Framework存在遠程代碼執行漏洞(CVE-2022-22965),在 JDK 9 及以上版本環境下,遠程攻擊者可利用該漏洞寫入惡意代碼導致遠程代碼執行。此漏洞POC、技術細節及EXP已公開,經過奇安信CERT研判,此漏洞POC有效。鑑於此漏洞影響範圍極大,建議客戶儘快做好自查,及時更新至最新版本或採取緩解措施。
奇安信CERT已成功復現Spring Framework遠程代碼執行漏洞,復現截圖如下:
威脅評估
漏洞名稱
Spring Framework遠程代碼執行漏洞
CVE編號
CVE-2022-22965
其他編號
QVD-2022-1691
CNVD-2022-23942
CVSS 3.1評級
極危
CVSS 3.1分數
10
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
低
所需權限(PR)
用戶交互(UI)
不需要
不需要
影響範圍(S)
機密性影響(C)
改變
高
完整性影響(I)
可用性影響(A)
高
高
危害描述
Spring Framework存在遠程代碼執行漏洞,在 JDK 9 及以上版本環境下,遠程攻擊者可利用該漏洞寫入惡意代碼導致遠程代碼執行漏洞。
處置建議
一、版本升級
目前,Spring官方已發布漏洞修復版本,請用戶及時更新至最新版本。
https://github.com/spring-projects/spring-framework/tags
安全版本:
SpringFramework == 5.3.18
SpringFramework == 5.2.20
升級方式:
1.通過Maven更新Spring版本:
<properties>
<spring-framework.version>5.3.18</spring-framework.version>
</properties>
2.通過Gradle更新Spring版本:
ext['spring-framework.version']= '5.3.18'
二、漏洞影響排查方法
用戶可參照以下方式來判斷是否可能受此漏洞影響。
1.排查JDK版本
在控制台窗口執行"java-version",如果版本號小於等於8,則不受此漏洞影響。
2.排查Spring框架使用情況
檢查項目是否使用Spring基礎框架,未使用則不受影響。可通過排查項目是否使用spring-beans核心依賴進行檢查。
3.排查項目部署方式
經過前兩步排查後,排查項目是否使用Tomcat進行部署,目前利用主要針對Tomcat中間件,但其他中間件不排除後續被利用的可能。
4.排查項目代碼
項目中Web接口未使用JavaBean對象作為參數則不受此漏洞影響。
三、攻擊排查
1、流量排查:攻擊者的數據包中可能存在」class.*」,「*.class.*」,「class.module.*」字樣或對該字樣進行URL編碼的變種字樣,同時這些字樣對大小寫不敏感。推薦使用奇安信網神網站應用安全雲防護系統全流量或WAF設備進行檢索排查。
2、日誌排查:查看tomcat的AccessLog中是否缺失最近日誌記錄,同時排查Tomcat相關web應用目錄下是否存在可疑後門文件。
四、漏洞緩解措施
1、在應用中全局搜索@InitBinder註解,方法體中若調用dataBinder.setDisallowedFields,則在原來的黑名單中添加"class.*","Class.*", "*.class.*", "*.Class.*"。
註:如果此代碼片段使用較多,需要每個地方都追加。
2、若未發現,可通過@ControllerAdvice進行全局攔截,通過WebDataBinder中setDisallowedFields方法添加黑名單。參考代碼:
產品解決方案
奇安信網神統一服務器安全管理平台更新入侵防禦規則庫
奇安信網神虛擬化安全輕代理版本將於3月30日發布入侵防禦規則庫2022.03.30版本,支持對Spring Framework遠程代碼執行漏洞的防護,屆時請用戶聯繫技術支持人員獲取規則升級包對輕代理版本進行升級。
奇安信網神統一服務器安全管理平台將於3月30日發布入侵防禦規則庫10565版本,支持對Spring Framework遠程代碼執行漏洞的防護,屆時請用戶聯繫技術支持人員獲取規則升級包對融合版本進行升級。
奇安信網站應用安全雲防護系統已更新防護特徵庫
奇安信網神網站應用安全雲防護系統已全面支持對Spring Framework 遠程代碼執行漏洞的防護。
奇安信天眼檢測方案
奇安信天眼新一代安全感知系統已經能夠有效檢測針對該漏洞的攻擊,請將規則版本升級到3.0.0330.13278或以上版本。規則ID及規則名稱:
0x10020EAA,Spring Framework 遠程代碼執行漏洞。奇安信天眼流量探針規則升級方法:系統配置->設備升級->規則升級,選擇「網絡升級」或「本地升級」。
奇安信開源衛士已更新
奇安信開源衛士20220330. 1025版本已支持對Spring Framework 遠程代碼執行漏洞的檢測。
奇安信網神雲鎖產品解決方案
奇安信網神雲鎖產品(私有雲版/公有雲版)可通過更新網站漏洞防禦規則支持對Spring Framework遠程代碼執行漏洞的防禦,請用戶聯繫技術支持人員獲取相關防護規則。
奇安信網神網絡數據傳感器系統產品檢測方案奇安信網神網絡數據傳感器(NDS5000/7000/9000系列)產品,已具備該漏洞的檢測能力。規則ID為:7340,建議用戶儘快升級檢測規則庫至2203300800以後版本並啟用該檢測規則。
奇安信網神智慧防火牆產品防護方案
奇安信新一代智慧防火牆(NSG3000/5000/7000/9000系列),已通過更新IPS特徵庫完成了對該漏洞的防護。建議用戶儘快將IPS特徵庫升級至「 2203301909」 或「2203301900」(根據防火牆版本選擇對應的庫版本)及以上版本並啟用規則ID: 4410501/4410502進行檢測。
參考資料
[1]https://github.com/spring-projects/spring-framework
[2]https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
[3]https://spring.io/blog/2022/
時間線
2022年3月31日,奇安信CERT發布安全風險通告
2022年4月01日,奇安信CERT發布安全風險通告第二次更新
點擊閱讀原文到奇安信NOX-安全監測平台查詢更多漏洞詳情
奇安信CERT長期招募安全研究員
↓ ↓ ↓向下滑動圖片了解更多↓↓↓
留言列表