0x01 钓鱼预警
晚上爆出一个堪比关于 Apache Log4j2核弹级别漏洞,有很多人就迫不及
待的想要poc,exp
现在在github搜索关键字:Spring rce
就有些不法分子在github发布虚假的poc、 exp针对安全人员进行钓鱼
也有人群里发了一个Spring core RCE漏洞的EXP,
链接如下
https://github.com/shakeman8/Spring-Core-RCE(钓鱼)
实则为钓鱼exe
该exe文件大小是8M左右,经过证实,该文件为针对安全从业人员的钓鱼攻击:
https://www.virustotal.com/gui/file/45ef7d9efba711af2196fe0d14097293fb0922b76addee0f7e4d19fa03b3844d
请大家转发,警惕钓鱼
在官方发布补丁前,大家一定要警惕这些所谓的exp、poc等,主要是exe程序的,谨防钓鱼。
0x02 漏洞自查
漏洞条件
-
JDK 9.0 +
-
Spring 框架以及衍生的框架
-
spring-beans-*.jar 文件 或者 存在 CachedIntrospectionResults.class
防御1:WAF
1、WAF中实现对 class.*, Class.*, *.class.*, *.Class.* 字符串的规则过滤,【参数名中出现】
临时修复:
全局搜索@InitBinder注解,判断方法体内是否有dataBinder.setDisallowedFields方法,
如果有使用则在原来的黑名单中添加:
{"class.*","Class.*","*.class.*","*.Class.*"}
关 注 有 礼
还在等什么?赶紧点击下方名片关注学习吧!
原文始发于微信公众号(渗透测试网络安全):【钓鱼预警】针对安全人员的Spring 0day钓鱼攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论