Spring Framework远程代码执行漏洞(CVE-2022-22965)风险提示

admin 2022年4月1日00:23:26评论294 views字数 3419阅读11分23秒阅读模式

Spring Framework远程代码执行漏洞(CVE-2022-22965)风险提示



漏洞公告


近期安恒信息CERT监测到Spring官方发布安全公告,披露了一个Spring框架可在JDK>=9版本下实现远程代码执行的漏洞(CVE-2022-22965)。此漏洞影响范围极广,建议客户尽快做好自查工作,目前安恒信息相关产品已实现针对于该漏洞的检测和防护能力。

官方公告链接:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement


1.1 影响范围

若满足如下两个条件则确定受到漏洞影响:

(1)使用JDK>=9

(2)Spring开发或衍生框架开发(存在spring-bean*.jar)

spring-framework < v5.3.18

spring-framework < v5.2.20.RELEASE


1.2 漏洞POC/EXP情况

目前外界Exp/PoC已公开,安恒信息CERT已验证该漏洞的可利用性:

Spring Framework远程代码执行漏洞(CVE-2022-22965)风险提示


1.3 补丁情况

目前Spring官方已发布安全版本修复该漏洞,安全版本如下:

spring-framework v5.3.18

spring-framework v5.2.20.RELEASE

下载地址:

https://github.com/spring-projects/spring-framework/releases



缓解措施


2.1 漏洞自查

可按照以下步骤来判断是否受此漏洞影响:

1.排查是否使用了Spring框架(包括但不限于以下方法)

(1)排查项目中是否使用了Spring框架:

可遍历项目文件查找是否包含spring-beans-*.jar

(2)排查war包中是否存在Spring框架:

检查war包内是否存在spring-beans-*.jar文件,若存在则表示使用spring开发框架;若不存在,则进一步确认是否存在CachedIntrospectionResults.class文件,若存在则表示使用Spring开发框架或衍生框架。

(3)排查jar包部中的Spring:

检查Jar包内是否存在spring-beans-*.jar文件,若存在则表示使用Spring开发框架;若不存在,则进一步确认是否存在CachedIntrospectionResults.class文件,若存在则表示使用Spring开发框架或衍生框架。


2.排查包含Spring框架的项目使用的JDK版本,如果JDK版本>=9则存在风险。


2.2 漏洞处置

目前Spring官方已发布安全补丁,建议及时更新Spring至官方最新安全版本来修复此漏洞。


临时缓解措施:

1.全局搜索@InitBinder注解,判断方法体内是否有dataBinder.setDisallowedFields方法,如果有使用则在原来的黑名单中添加:

{"class.*","Class.*","*.class.*","*.Class.*"}

(注:如果此代码片段使用较多,需要每个地方都追加)


2.在应用系统的项目包下新建以下全局类,并保证这个类被Spring加载到(推荐在Controller所在的包中添加)。完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.core.annotation.Order;import org.springframework.web.bind.WebDataBinder;import org.springframework.web.bind.annotation.ControllerAdvice;import org.springframework.web.bind.annotation.InitBinder;@ControllerAdvice@Order(10000)public class GlobalControllerAdvice{ @InitBinderpublic void setAllowedFields(webdataBinder dataBinder){String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};dataBinder.setDisallowedFields(abd);}}




产品防护方案


目前安恒信息防护类产品均已经集成漏洞防护能力,可通过前往“安恒社区”下载对应产品的策略升级包进行升级。


相关产品能力与升级地址参考下表:

产品名称

是否支持防御

策略版本

明御®Web应用防火墙

2022032801及以上版本

明御®APT攻击预警平台

GoldenEyeIPv6_XXXXX_strategy2.0.25837.220329.1及以上版本

明御®入侵检测系统(AiNTA)

1.1.576版本(AiNTA-v1.2.2_release_ruletag_1.1.576)及以上版本

玄武盾

玄武盾已支持相关防护能力

明鉴®漏洞扫描系统/明鉴®远程安全评估系统

V1.3.618.577版本规则升级包

云鉴漏洞扫描系统

V1.3.662.578版本

明鉴®Web应用漏洞扫描系统

V1.0.1.11版本


3.1 御®Web应用防火墙(WAF)升级方式

请将规则包升级到2022032801及以上版本。

平台规则升级方法:策略->规则升级,选择“本地上传”或“在线更新”。

WAF规则升级包请到安恒社区下载:

https://bbs.dbappsecurity.com.cn/download/60d406cd22d42322bcde0225/5ddc94fe8c885b76dd8d8657?type1=5de8b762a05eab5fe16bc330


3.2 明御®APT攻击预警平台升级方式

请将规则包升级到GoldenEyeIPv6_XXXXX_strategy2.0.25837.220329.1及以上版本。

规则名称:Spring bean代码执行漏洞

规则编号:93009227

APT攻击预警平台规则升级方法:系统->升级管理,选择“手动升级”或“在线升级”。

APT攻击预警平台的规则升级包请到安恒社区下载:

https://bbs.dbappsecurity.com.cn/download/60d406cd22d42322bcde0225/5ddc97a68c885b76dd8d8667?type1=5e01818f8a17d82f9f66fb26


3.3 明御®入侵检测系统(AiNTA)升级方式

请将规则包升级到1.1.576版本(AiNTA-v1.2.2_release_ruletag_1.1.576)及以上版本。

规则名称:Spring bean代码执行漏洞

规则编号:93009227

AiNTA流探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。

请从AiLPHA安全中心下载规则包。

AiLPHA安全中心地址:

https://ailpha.dbappsecurity.com.cn/index.html#/login

如果没有账号,请从页面注册账号。

Spring Framework远程代码执行漏洞(CVE-2022-22965)风险提示


3.4 明鉴®漏洞扫描系统/明鉴®远程安全评估系统升级方式

明鉴漏洞扫描系统已发布V1.3.618.577版本规则升级包,已具备检测能力,下载地址是:

http://www.websaas.com.cn:18081/pages/productInfo.html?id=c189a3e6-1319-bc3e-434c-d263de0dd754 

具体的升级方式为一键在线升级或离线上传更新。


3.5 云鉴版漏洞扫描系统升级方式

云鉴版漏洞扫描系统已具备最新的Spring远程代码执行漏洞的检测能力,将策略库升级至V1.3.662.578版本,具体的升级方式为离线上传更新。

链接:https://pan.baidu.com/s/1DJZVnPmueVARGykjWivIQg

提取码:3w46


3.6 明鉴®Web应用漏洞扫描系统升级方式

明鉴®Web应用漏洞扫描系统已具备最新的Spring远程代码执行漏洞的检测能力,将策略库升级至V1.0.1.11版本,具体的升级方式为一键在线升级。


安恒信息CERT

2022年3月





原文始发于微信公众号(安恒信息CERT):Spring Framework远程代码执行漏洞(CVE-2022-22965)风险提示

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月1日00:23:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Spring Framework远程代码执行漏洞(CVE-2022-22965)风险提示http://cn-sec.com/archives/860589.html

发表评论

匿名网友 填写信息