【緊急】Spring爆出比Log4j2還大的漏洞?

星河Salaxy發表於2022-04-02

關於星河雲企業安全管家

星河雲企業安全管家以全量流量分析為基礎,統一安全管理中心為核心,為使用者提供7*24小時一站式安全運營,實現勒索病毒、挖礦病毒、DDOS攻擊、0Day漏洞等安全事件的實時監測與閉環處置,為使用者降低或避免因網路安全事件帶來的巨大損失。

針對近期爆發的重量級漏洞“Spring Rce 0Day”,星河雲安全專家第一時間提取該漏洞的有效檢測規則,更新到星河雲威脅特徵庫,提供配套防護手段,可實現針對該漏洞利用行為的檢測和防護能力。


一. 漏洞介紹

2022年3月,國內安全研究員發現了spring框架存在嚴重安全缺陷(CVE-2022-22965),該漏洞為CVE-2010-1622的補丁繞過,此前修復是基於jdk8及以下版本。從jdk9開始,Class類中新增了一個新的方法getModule,可透過該方法繞過之前的補丁。


目前已知的利用方式為覆蓋tomcat記憶體中的日誌配置進行任意檔案寫入。具體原理是利用class屬性進一步獲取tomcat的AccessLogValve物件,利用其setter方法修改tomcat執行時的日誌記錄配置,攻擊者可基於此生成jsp惡意檔案。


Spring框架應用面極廣,影響面極大,使用spring框架及衍生框架的系統均受此漏洞影響。目前spring官方已公佈漏洞補丁,建議相關使用者及時開展安全檢測,及時進行修補更新,做好相關防護措施,避免被外部攻擊者入侵。


二. 影響範圍

觸發該漏洞需要滿足的三個基本條件:

// 1

|使用spring框架(spring核心包)

// 2

|JDK版本為9及以上

// 3

|Controller方法引數符合JavaBean規範


三. 漏洞危險等級

高危


四. 復現

星河雲安全專家已驗證該漏洞的可利用性,復現結果如下:

利用spring rce漏洞進行攻擊可成功寫入任意檔案


【緊急】Spring爆出比Log4j2還大的漏洞?

編輯切換為居中

圖片


可看到上傳jsp檔案中whoami命令的執行結果:


【緊急】Spring爆出比Log4j2還大的漏洞?

編輯切換為居中

圖片


被攻擊後,執行中的tomcat日誌配置將會被修改,造成預先配置的日誌儲存檔案無法記錄日誌,恢復需重啟tomcat。


五. 防禦建議

1目前,Spring官方已釋出修復了漏洞的新版本,請使用者及時更新至最新版本。

https://github.com/spring-projects/spring-framework/tags

安全版本:

Spring Framework == 5.3.18

Spring Framework == 5.2.20

2在應用系統的專案包下新建以下全域性類,並保證這個類被Spring 載入到(推薦在Controller 所在的包中新增).完成類新增後,需對專案進行重新編譯打包和功能驗證測試。並重新發布專案。(可能會影響效能)

import org.springframework.core.annotation.Order;

import org.springframework.web.bind.WebDataBinder;

import org.springframework.web.bind.annotation.ControllerAdvice;

import org.springframework.web.bind.annotation.InitBinder;

@ControllerAdvice

@Order(10000)

public class a{undefined

@InitBinder

public void setAllowedFields(WebDataBinder dataBinder) {undefined

String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};

dataBinder.setDisallowedFields(abd);

}

}


//雲端檢測申請

///

SECURITY

目前,星河雲企業安全管家雲端規則庫已自動更新升級,向已部署管家服務的使用者提供智慧化檢測服務,其他安全防護類產品也已同步更新檢測策略。

由於使用者自行檢測存在一定風險,針對此次安全事件,中新賽克可面向使用者提供遠端檢測服務,相關客戶可撥打官方電話:025-52627967申請雲端檢測服務,專業安全團隊將7*24h為您提供全方位安全服務!

後續星河工業安全公眾號也將會對該漏洞資訊持續更新報導。



相關文章