關於星河雲企業安全管家
星河雲企業安全管家以全量流量分析為基礎,統一安全管理中心為核心,為使用者提供7*24小時一站式安全運營,實現勒索病毒、挖礦病毒、DDOS攻擊、0Day漏洞等安全事件的實時監測與閉環處置,為使用者降低或避免因網路安全事件帶來的巨大損失。
針對近期爆發的重量級漏洞“Spring Rce 0Day”,星河雲安全專家第一時間提取該漏洞的有效檢測規則,更新到星河雲威脅特徵庫,提供配套防護手段,可實現針對該漏洞利用行為的檢測和防護能力。
一. 漏洞介紹
2022年3月,國內安全研究員發現了spring框架存在嚴重安全缺陷(CVE-2022-22965),該漏洞為CVE-2010-1622的補丁繞過,此前修復是基於jdk8及以下版本。從jdk9開始,Class類中新增了一個新的方法getModule,可透過該方法繞過之前的補丁。
目前已知的利用方式為覆蓋tomcat記憶體中的日誌配置進行任意檔案寫入。具體原理是利用class屬性進一步獲取tomcat的AccessLogValve物件,利用其setter方法修改tomcat執行時的日誌記錄配置,攻擊者可基於此生成jsp惡意檔案。
Spring框架應用面極廣,影響面極大,使用spring框架及衍生框架的系統均受此漏洞影響。目前spring官方已公佈漏洞補丁,建議相關使用者及時開展安全檢測,及時進行修補更新,做好相關防護措施,避免被外部攻擊者入侵。
二. 影響範圍
觸發該漏洞需要滿足的三個基本條件:
// 1
|使用spring框架(spring核心包)
// 2
|JDK版本為9及以上
// 3
|Controller方法引數符合JavaBean規範
三. 漏洞危險等級
高危
四. 復現
星河雲安全專家已驗證該漏洞的可利用性,復現結果如下:
利用spring rce漏洞進行攻擊可成功寫入任意檔案
編輯切換為居中
圖片
可看到上傳jsp檔案中whoami命令的執行結果:
編輯切換為居中
圖片
被攻擊後,執行中的tomcat日誌配置將會被修改,造成預先配置的日誌儲存檔案無法記錄日誌,恢復需重啟tomcat。
五. 防禦建議
1目前,Spring官方已釋出修復了漏洞的新版本,請使用者及時更新至最新版本。
https://github.com/spring-projects/spring-framework/tags
安全版本:
Spring Framework == 5.3.18
Spring Framework == 5.2.20
2在應用系統的專案包下新建以下全域性類,並保證這個類被Spring 載入到(推薦在Controller 所在的包中新增).完成類新增後,需對專案進行重新編譯打包和功能驗證測試。並重新發布專案。(可能會影響效能)
import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice
@Order(10000)
public class a{undefined
@InitBinder
public void setAllowedFields(WebDataBinder dataBinder) {undefined
String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};
dataBinder.setDisallowedFields(abd);
}
}
//雲端檢測申請
///
SECURITY
目前,星河雲企業安全管家雲端規則庫已自動更新升級,向已部署管家服務的使用者提供智慧化檢測服務,其他安全防護類產品也已同步更新檢測策略。
由於使用者自行檢測存在一定風險,針對此次安全事件,中新賽克可面向使用者提供遠端檢測服務,相關客戶可撥打官方電話:025-52627967申請雲端檢測服務,專業安全團隊將7*24h為您提供全方位安全服務!
後續星河工業安全公眾號也將會對該漏洞資訊持續更新報導。