01 漏洞概况
此次受影响版本如下:
Spring |
是否受影响 |
低于5.3.18和5.2.20 |
是 |
02 漏洞评估
利用条件:无权限要求
交互要求:0-click
漏洞危害:高危、远程代码执行
影响范围:Spring
03 漏洞分析
这里不展开'Spring'中自动参数绑定造成的变量覆盖问题,具体的原理可以参照参考链接[1][2]。'Spring'中变量覆盖漏洞的利用方式是修改'Class'属性中的'classLoader'相关信息,但正常情况下开发人员不会在'POJO'中添加'Class'的属性,而在'Spring'框架中使用了'Intropector.getBeanInfo()`来获取'POJO'的属性,'Intropector.getBeanInfo()'有多种实现方式,如下所示:
04 在野利用捕获情况
30号晚,微步在线研究响应中心通过蜜罐捕获到Spring-core RCE漏洞攻击,发现僵尸网络的IP正通过刚爆发的Spring-core RCE漏洞传播:
查询微步情报社区发现,IP37.239.76.108 存在有大量的扫描、攻击行为 :
同样的IP 141.255.150.72 曾经是Bladabindi僵尸网络的通信C2:
05 时间线
2022.3.29 微步捕获该漏洞在野利用相关情报
2022.3.30 微步蜜罐捕获在野利用
2022.3.31 Spring官方发布漏洞修复建议公告信息
2022.4.1 微步发布漏洞公告
06 官方通告
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
07 参考链接
08 IOC
141.255.150.72
第一时间为您推送最新威胁情报
阅读原文,可加入粉丝群~
原文始发于微信公众号(微步在线研究响应中心):漏洞公告 | Spring Core 远程代码执行漏洞已出现在野利用
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论