咨詢服務熱線

400-6446-808

創安實驗室專欄
您的當前位置:首頁 > 創安實驗室專欄
創安攻防實驗室關于Spring Framework遠程代碼執行漏洞風險提示
發布者:創信華通  發布時間:2022-04-02  浏覽量:383次

圖片

近期創安攻防實驗室監測到Spring官方發布安全公告,披露了一(yī)個Spring框架可在JDK>=9版本下(xià)實現遠程代碼執行的漏洞(CVE-2022-22965)。此漏洞影響範圍極廣,建議客戶盡快做好自查工(gōng)作。

官方公告鏈接:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement



漏洞描述




該漏洞是SpringFramework數據綁定的一(yī)個漏洞,如果後台方法中(zhōng)接受的參數爲非基礎類型,Spring會根據前端傳入的請求正文中(zhōng)的參數的key值來查詢與其名稱所對應的getter和setter方法,攻擊者利用這一(yī)特性修改了Tomcat的一(yī)個用于日志(zhì)記錄的類的屬性,進而當Tomcat在進行寫日志(zhì)操作的時候,将攻擊者傳遞的惡意代碼寫入指定目錄的指定文件中(zhōng)。


影響範圍




若滿足如下(xià)兩個條件則确定受到漏洞影響:
(1)使用JDK>=9
(2)Spring開(kāi)發或衍生(shēng)框架開(kāi)發(存在spring-bean*.jar)
spring-framework < v5.3.18
spring-framework < v5.2.20.RELEASE


漏洞編号




CVE-2022-22965


漏洞等級




嚴重


漏洞複現




目前外(wài)界Exp/PoC已公開(kāi),創安實驗室已驗證該漏洞的可利用性:


圖片


圖片




圖片


修複建議






Spring官方目前已發布安全版本,建議用戶盡快更新至安全版本,下(xià)載鏈接如下(xià)

https://github.com/spring-projects/spring-framework


(一(yī))WAF防護


WAF等網絡防護設備上,根據實際部署業務的流量情況,實現對class.*, Class.*,*.class.*,*.Class.* 等字符串的規則過濾,并在部署過濾規則後,對業務運行情況進行測試,避免産生(shēng)額外(wài)影響。


(二)臨時修複措施


需同時按以下(xià)兩個步驟進行漏洞的臨時修複:


1、在應用中(zhōng)全局搜索@InitBinder注解,看看方法體(tǐ)内是否調用dataBinder.setDisallowedFields方法,如果發現此代碼片段的引入,則在原來的黑名單中(zhōng),添加{"class.*","Class.*","*.class.*","*.Class.*"}。(注:如果此代碼片段使用較多,需要每個地方都追加)


2、在用系統的項目包下(xià)新建以下(xià)全局類,并保證這個類被Spring 加載到(推薦在Controller所在的包中(zhōng)添加)。完成類添加後,需對項目進行重新編譯打包和功能驗證測試,并重新發布項目。






本文由創信華通創安攻防實驗室整理編輯。


本文僅限于個人學習和技術研究,由于傳播、利用此文所提供的信息而造成刑事案件、非授權攻擊等違法行爲,均由使用者本人負責,本單位不爲此承擔任何責任。創安攻防實驗室擁有對此文章的修改和解釋權,如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明等全部内容。


如有侵權,請聯系後台。




圖片
天慕卓越(深圳)網絡科技有限公司


天慕卓越(深圳)網絡科技有限公司自成立以來一(yī)直秉承“求真務實、創新卓越”的文化理念,堅持“開(kāi)創、誠信、規範、專業”的經營宗旨,竭盡全力爲網絡安全和國家安全保駕護航。我(wǒ)司以“等保測評”、“密碼測評、“軟件測試”、“安全服務”爲基礎,以綜合服務爲延伸,形成“4+N”的業務布局,針對多個行業形成系統的、全面的解決方案和網絡安全保障體(tǐ)系。服務領域包括黨政、政法、醫療、能源、教育、金融、工(gōng)業互聯網以及關鍵信息基礎設施等多個方面。期待與您的合作!

圖片

圖片