【安全通报】Spring Framework 远程命令执行漏洞(CVE-2022...

logo_20220329193457.png (1157×477) (nosec.org)

近日,Spring 官方 GitHub issue中提到了关于 Spring Core 的远程命令执行漏洞,该漏洞广泛存在于Spring 框架以及衍生的框架中。

漏洞描述

Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。


未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,JDK 9.0及以上版本会受到影响。使用旧JDK版本的产品不受影响。建议存在该漏洞的企业在防火墙处阻止带有特殊字符串的请求,以免受到该漏洞的攻击。

漏洞复现

白帽汇漏洞研究院已通过漏洞复现确认漏洞存在。

reright_20220329204302.png (1331×461) (nosec.org)

FOFA 查询

app="APACHE-Tomcat" || app="vmware-SpringBoot-framework" || app="vmware-SpringBoot-framework" || app="vmware-Spring-Batch" || app="vmware-Spring-framework" || app="vmware-Spring-Security"

影响范围

Spring 框架以及衍生的框架会受到影响。(JDK 版本需在9.0及以上。)

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(上述FOFA查询语句)共有 7,023,506 个相关服务对外开放。中国使用数量最多,共有 2,987,121 个;美国第二,共有 1,215,955 个;巴西第三,共有 381,319 个;韩国第四,共有 219,201 个;德国第五,共有 213,097 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

global.png (963×470) (nosec.org)

中国大陆地区北京使用数量最多,共有 394,664 个;广东第二,共有 303,535 个;浙江第三,共有 293,119 个;上海第四,共有 262,491 个;山东第五,共有 142,296 个。

CN_20220329193434.png (963×493) (nosec.org)

Vulfocus 靶场环境

目前 Vulfocus 已经集成 Spring Core 环境,可通过以下链接启动环境测试:

Spring fr amework Corce 远程命令执行漏洞

也可通过 vulfocus/spring-core-rce-2022-03-29:latest 拉取本地环境运行。

vul_20220329222228.png (898×271) (nosec.org)

修复建议

升级Spring Framework 版本

Spring Framework == 5.3.18 

Spring Framework == 5.2.20

临时防御方案:

1、 WAF防御。

可以在WAF中添加以下规则对特殊输入的字符串进行过滤:


Class.*

class.*

*.class.*

*Class.*

2、通过黑名单策略进行防护。

您可在受影响产品代码中搜索@InitBinder注解,判断方法体内是否有dataBinder.serDisallowerFields方法,若发现存在该方法,则在黑名单中添加如下过滤规则:


Class.*

class.*

*.class.*

*Class.*

参考

[1] https://github.com/spring-projects/spring-framework/issues/27483

[2] https://github.com/google/tsunami-security-scanner-plugins/issues/234

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐