奇安信CERT
致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。
安全通告
新增天擎終端安全管理系統解決方案、天問平台一鍵排查解決方案
漏洞名稱
Spring Framework遠程代碼執行漏洞
公開時間
2022-03-29
更新時間
2022-04-02
CVE編號
CVE-2022-22965
其他編號
CNVD-2022-23942
QVD-2022-1691
威脅類型
遠程代碼執行
技術類型
遠程代碼注入
廠商
Spring
產品
Spring Framework
風險等級
奇安信CERT風險評級
風險等級
極危
藍色(一般事件)
現時威脅狀態
POC狀態
技術細節狀態
已發現
已發現
已發現
已公開
漏洞描述
由於12年前對CVE-2010-1622漏洞的修復代碼存在缺陷,導致補丁繞過,在 JDK 9 及以上版本環境下,遠程攻擊者可利用該漏洞寫入惡意代碼導致遠程代碼執行
影響版本
Spring Framework 5.3.X < 5.3.18
Spring Framework 5.2.X < 5.2.20
註:其他版本未更新均受影響
不受影響版本
Spring Framework == 5.3.18
Spring Framework == 5.2.20
其他受影響組件
任何引用Spring Framework的衍生產品
漏洞信息
Spring Framework是一個開源應用框架,旨在降低應用程序開發的複雜度。它是輕量級、鬆散耦合的。它具有分層體系結構,允許用戶選擇組件,同時還為 J2EE 應用程序開發提供了一個有凝聚力的框架。
近日,奇安信CERT監測到Spring Framework存在遠程代碼執行漏洞(CVE-2022-22965),由於12年前對CVE-2010-1622漏洞的修復代碼存在缺陷,導致補丁繞過,在 JDK 9 及以上版本環境下,遠程攻擊者可利用該漏洞寫入惡意代碼導致遠程代碼執行。
鑑於此漏洞嚴重性,國外將Spring Framework遠程代碼執行漏洞(CVE-2022-22965)命名為「Spring4Shell」,雖是受Log4Shell(CVE-2021-44228)啟發,但兩者並不相關。
此漏洞POC、技術細節及EXP已公開,經過奇安信CERT研判,此漏洞POC有效。鑑於此漏洞影響範圍極大,建議客戶儘快做好自查,及時更新至最新版本或採取緩解措施。
奇安信CERT已成功復現Spring Framework遠程代碼執行漏洞,復現截圖如下:
威脅評估
漏洞名稱
Spring Framework遠程代碼執行漏洞
CVE編號
CVE-2022-22965
其他編號
CNVD-2022-23942
QVD-2022-1691
CVSS 3.1評級
極危
CVSS 3.1分數
10
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
低
所需權限(PR)
用戶交互(UI)
不需要
不需要
影響範圍(S)
機密性影響(C)
改變
高
完整性影響(I)
可用性影響(A)
高
高
危害描述
由於12年前對CVE-2010-1622漏洞的修復代碼存在缺陷,導致補丁繞過,在 JDK 9 及以上版本環境下,遠程攻擊者可利用該漏洞寫入惡意代碼導致遠程代碼執行
處置建議
一、版本升級
目前,Spring官方已發布漏洞修復版本,請用戶及時更新至最新版本。
https://github.com/spring-projects/spring-framework/tags
安全版本:
SpringFramework == 5.3.18
SpringFramework == 5.2.20
升級方式:
1.通過Maven更新Spring版本:
<properties>
<spring-framework.version>5.3.18</spring-framework.version>
</properties>
2.通過Gradle更新Spring版本:
ext['spring-framework.version']= '5.3.18'
註:Spring官方建議開發人員在使用DataBinder類時指定allowedFields屬性。
二、漏洞影響排查方法
用戶可參照以下方式來判斷是否可能受此漏洞影響。
1.排查JDK版本
在控制台窗口執行"java-version",如果版本號小於等於8,則不受此漏洞影響。
2.排查Spring框架使用情況
檢查項目是否使用Spring基礎框架,未使用則不受影響。可通過排查項目是否使用
spring-beans-*.jar,或 spring-webmvc 或 spring-webflux 依賴項。
3.排查項目部署方式
經過前兩步排查後,排查項目是否使用Tomcat進行部署,目前利用主要針對Tomcat中間件,但其他中間件不排除後續被利用的可能。
4.排查項目代碼
項目中Web接口未使用JavaBean對象作為參數則不受此漏洞影響。
5. 客戶自查
用戶可自行發送如下請求包來排查服務器是否受此漏洞影響:若發送class.module.classLoader.DefaultAssertionStatus=true或class.module.classLoader.DefaultAssertionStatus=false時服務端響應正常,
且class.module.classLoader.DefaultAssertionStatus為任何其他數據時,服務器響應錯誤,則易受該漏洞影響。
推薦使用天問平台排查此漏洞,參見產品解決方案中:天問平台一鍵排查解決方案部分。
三、攻擊排查
1、流量排查:攻擊者的數據包中可能存在」class.*」,「*.class.*」,「class.module.*」字樣或對該字樣進行URL編碼的變種字樣,同時這些字樣對大小寫不敏感。推薦使用奇安信網神網站應用安全雲防護系統全流量或WAF設備進行檢索排查。
2、日誌排查:查看tomcat的AccessLog中是否缺失最近日誌記錄,同時排查Tomcat相關web應用目錄下是否存在可疑後門文件。
四、漏洞緩解措施
1、在應用中全局搜索@InitBinder註解,方法體中若調用dataBinder.setDisallowedFields,則在原來的黑名單中添加"class.*","Class.*", "*.class.*", "*.Class.*"。
註:如果此代碼片段使用較多,需要每個地方都追加。
2、若未發現,可通過@ControllerAdvice進行全局攔截,通過WebDataBinder中setDisallowedFields方法添加黑名單。參考代碼:
產品解決方案
奇安信網神統一服務器安全管理平台更新入侵防禦規則庫
奇安信網神虛擬化安全輕代理版本將於3月30日發布入侵防禦規則庫2022.03.30版本,支持對Spring Framework遠程代碼執行漏洞的防護,屆時請用戶聯繫技術支持人員獲取規則升級包對輕代理版本進行升級。
奇安信網神統一服務器安全管理平台將於3月30日發布入侵防禦規則庫10565版本,支持對Spring Framework遠程代碼執行漏洞的防護,屆時請用戶聯繫技術支持人員獲取規則升級包對融合版本進行升級。
奇安信網站應用安全雲防護系統已更新防護特徵庫
奇安信網神網站應用安全雲防護系統已全面支持對Spring Framework 遠程代碼執行漏洞的防護。
奇安信天眼檢測方案
奇安信天眼新一代安全感知系統已經能夠有效檢測針對該漏洞的攻擊,請將規則版本升級到3.0.0330.13278或以上版本。規則ID及規則名稱:
0x10020EAA,Spring Framework 遠程代碼執行漏洞。奇安信天眼流量探針規則升級方法:系統配置->設備升級->規則升級,選擇「網絡升級」或「本地升級」。
奇安信開源衛士已更新
奇安信開源衛士20220330. 1025版本已支持對Spring Framework 遠程代碼執行漏洞的檢測。
奇安信網神雲鎖產品解決方案
奇安信網神雲鎖產品(私有雲版/公有雲版)可通過更新網站漏洞防禦規則支持對Spring Framework遠程代碼執行漏洞的防禦,請用戶聯繫技術支持人員獲取相關防護規則。
奇安信網神網絡數據傳感器系統產品檢測方案奇安信網神網絡數據傳感器(NDS5000/7000/9000系列)產品,已具備該漏洞的檢測能力。規則ID為:7340,建議用戶儘快升級檢測規則庫至2203300800以後版本並啟用該檢測規則。
奇安信網神智慧防火牆產品防護方案
奇安信新一代智慧防火牆(NSG3000/5000/7000/9000系列),已通過更新IPS特徵庫完成了對該漏洞的防護。建議用戶儘快將IPS特徵庫升級至「 2203301909」 或「2203301900」(根據防火牆版本選擇對應的庫版本)及以上版本並啟用規則ID: 4410501/4410502進行檢測。
奇安信天擎終端安全管理系統奇安信天擎終端安全管理系統解決方案:目前針Spring Framework 遠程代碼執行漏洞,V6和V10版本EDR均支持檢測和響應。支持Windows系統和Linux(國產化)系統。
一、支持庫版本:
將EDR規則庫更新到最新版本2022.03.31及以後版本。
天擎V10管理中心:IOA規則庫:2022.03.31.*;
天擎V6.0(V7.0)管理中心:EDR規則庫:2022.03.31.*;
二、檢測效果以及判斷方式:
針對該漏洞利的異常行為,將通過EDR的威脅告警進行展示,可以通過威脅告警進行查看。
如果已經發現告警,可以根據告警信息詳情進行調查分析,以判斷攻擊的影響。同時還可以通過威脅追蹤判斷該攻擊對全網終端的影響範圍,並對風險終端提供隔離終端或進程處置的響應措施。
天問平台新增推出了Spring Framework 遠程代碼執行漏洞純離線檢測工具:「天蠶3.0-Spring漏洞離線專查版」。該專查工具所有分析檢測過程全部在被測主機上離線完成,不需要將任何信息回傳服務器,解決了敏感信息泄露的擔憂
工具信息:
工具SHA1:【eda65a95b0b5ae1ddc36c85210631706ac1cafe2】
工具版本:1.0.0
下載鏈接:springfind-1.0.0.tgz【若已登錄天問可直接點擊下載】
一、天問登錄/註冊
訪問(天問平台),點擊右上角登錄平台,未註冊賬號的用戶利用邀請碼「66f6c4d2838cf5eb0b73ef58e1836cc6」註冊平台賬號,登錄之後點擊「軟件測試」功能菜單,即可下載離線專查工具。
2022年04月1日,奇安信天問平台推出業界首個Spring Framework 遠程代碼執行漏洞一鍵排查解決方案,支持在線和離線兩種檢測模式,幫助廣大用戶快速判斷自身在用軟件系統是否受該漏洞影響。
二、如何利用天問進行排查
奇安信天問軟件供應鏈安全分析系統是奇安信技術研究院自研的,集二進制軟件分析、軟件空間測繪、軟件生態監測於一體的軟件供應鏈安全分析系統。天問系統擁有總量超過2000萬的軟件空間測繪數據庫,支持靜態依賴、動態依賴、釋放生成等數千萬依賴關係;支持PE、ELF、JAR等十餘種主流二進制格式文件的軟件成分分析;廣泛支持桌面軟件、系統軟件、安卓APP、安卓ROM鏡像、PyPI包、NodeJS包等不同類型軟件的軟件空間測繪;支持Windows、Linux、Android等主流系統平台的軟件供應鏈安全分析。
目前,奇安信天問軟件供應鏈安全分析系統已全面支持Spring Framework 遠程代碼執行漏洞的檢測。不同於其他通過網絡掃描進行Spring Framework 遠程代碼執行漏洞檢測的工具,天問平台通過掃描待測軟件的可執行代碼,利用二進制程序分析技術,識別程序中是否使用了Spring Framework組件,或者是包含了Spring Framework相關的代碼,若發現程序中存在Spring Framework組件,則進一步通過代碼特徵匹配技術,識別其中Spring Framework組件的具體版本,再結合軟件漏洞知識庫,判斷該Spring Framework組件是否受遠程代碼執行漏洞的影響。因此,天問平台的檢測結果更可靠,也沒有遠程探測可能導致的實際觸發漏洞的風險。
對於在線檢測,用戶可以訪問天問平台(https://tianwen.qianxin.com),點擊右上角登錄平台,未註冊賬號的用戶利用邀請碼「66f6c4d2838cf5eb0b73ef58e1836cc6」註冊平台賬號,登錄之後點擊「軟件測試」功能菜單,將待測軟件打包上傳到天問平台,耐心等待平台分析完畢,即可查看詳細的檢測結果,檢查待測軟件是否受漏洞影響。
此外,對於有需要的用戶,天問平台還提供離線分析工具,可以使用工具離線分析待測軟件生成分析日誌,然後將分析日誌上傳到天問平台查詢待測軟件的檢測結果。
天問平台用戶註冊登錄及軟件檢測入口
天問平台檢測結果
參考資料
[1]https://github.com/spring-projects/spring-framework
[2]https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
[3]https://spring.io/blog/2022/
時間線
2022年3月31日,奇安信CERT發布安全風險通告
2022年4月01日,奇安信CERT發布安全風險通告第二次更新
2022年4月02日,奇安信CERT發布安全風險通告第三次更新
點擊閱讀原文到奇安信NOX-安全監測平台查詢更多漏洞詳情
奇安信CERT長期招募安全研究員
↓ ↓ ↓向下滑動圖片了解更多↓↓↓
留言列表