一
漏洞公告
近期安恒信息CERT监测到Spring官方发布安全公告,披露了一个Spring框架可在JDK>=9版本下实现远程代码执行的漏洞(CVE-2022-22965)。此漏洞影响范围极广,建议客户尽快做好自查工作,目前安恒信息相关产品已实现针对于该漏洞的检测和防护能力。
官方公告链接:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
1.1 影响范围
若满足如下两个条件则确定受到漏洞影响:
(1)使用JDK>=9
(2)Spring开发或衍生框架开发(存在spring-bean*.jar)
spring-framework < v5.3.18
spring-framework < v5.2.20.RELEASE
1.2 漏洞POC/EXP情况
目前外界Exp/PoC已公开,安恒信息CERT已验证该漏洞的可利用性:
1.3 补丁情况
目前Spring官方已发布安全版本修复该漏洞,安全版本如下:
spring-framework v5.3.18
spring-framework v5.2.20.RELEASE
下载地址:
https://github.com/spring-projects/spring-framework/releases
二
缓解措施
2.1 漏洞自查
可按照以下步骤来判断是否受此漏洞影响:
1.排查是否使用了Spring框架(包括但不限于以下方法)
(1)排查项目中是否使用了Spring框架:
可遍历项目文件查找是否包含spring-beans-*.jar
(2)排查war包中是否存在Spring框架:
检查war包内是否存在spring-beans-*.jar文件,若存在则表示使用spring开发框架;若不存在,则进一步确认是否存在CachedIntrospectionResults.class文件,若存在则表示使用Spring开发框架或衍生框架。
(3)排查jar包部中的Spring:
检查Jar包内是否存在spring-beans-*.jar文件,若存在则表示使用Spring开发框架;若不存在,则进一步确认是否存在CachedIntrospectionResults.class文件,若存在则表示使用Spring开发框架或衍生框架。
2.排查包含Spring框架的项目使用的JDK版本,如果JDK版本>=9则存在风险。
2.2 漏洞处置
目前Spring官方已发布安全补丁,建议及时更新Spring至官方最新安全版本来修复此漏洞。
临时缓解措施:
1.全局搜索@InitBinder注解,判断方法体内是否有dataBinder.setDisallowedFields方法,如果有使用则在原来的黑名单中添加:
{"class.*","Class.*","*.class.*","*.Class.*"}(注:如果此代码片段使用较多,需要每个地方都追加)
2.在应用系统的项目包下新建以下全局类,并保证这个类被Spring加载到(推荐在Controller所在的包中添加)。完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。
import org.springframework.core.annotation.Order;import org.springframework.web.bind.WebDataBinder;import org.springframework.web.bind.annotation.ControllerAdvice;import org.springframework.web.bind.annotation.InitBinder;public class GlobalControllerAdvice{public void setAllowedFields(webdataBinder dataBinder){String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};dataBinder.setDisallowedFields(abd);}}
三
产品防护方案
目前安恒信息防护类产品均已经集成漏洞防护能力,可通过前往“安恒社区”下载对应产品的策略升级包进行升级。
相关产品能力与升级地址参考下表:
|
产品名称 |
是否支持防御 |
策略版本 |
|
明御®Web应用防火墙 |
是 |
2022032801及以上版本 |
|
明御®APT攻击预警平台 |
是 |
GoldenEyeIPv6_XXXXX_strategy2.0.25837.220329.1及以上版本 |
|
明御®入侵检测系统(AiNTA) |
是 |
1.1.576版本(AiNTA-v1.2.2_release_ruletag_1.1.576)及以上版本 |
|
玄武盾 |
是 |
玄武盾已支持相关防护能力 |
|
明鉴®漏洞扫描系统/明鉴®远程安全评估系统 |
是 |
V1.3.618.577版本规则升级包 |
|
云鉴漏洞扫描系统 |
是 |
V1.3.662.578版本 |
|
明鉴®Web应用漏洞扫描系统 |
是 |
V1.0.1.11版本 |
3.1 明御®Web应用防火墙(WAF)升级方式
请将规则包升级到2022032801及以上版本。
平台规则升级方法:策略->规则升级,选择“本地上传”或“在线更新”。
WAF规则升级包请到安恒社区下载:
https://bbs.dbappsecurity.com.cn/download/60d406cd22d42322bcde0225/5ddc94fe8c885b76dd8d8657?type1=5de8b762a05eab5fe16bc330
3.2 明御®APT攻击预警平台升级方式
请将规则包升级到GoldenEyeIPv6_XXXXX_strategy2.0.25837.220329.1及以上版本。
规则名称:Spring bean代码执行漏洞
规则编号:93009227
APT攻击预警平台规则升级方法:系统->升级管理,选择“手动升级”或“在线升级”。
APT攻击预警平台的规则升级包请到安恒社区下载:
https://bbs.dbappsecurity.com.cn/download/60d406cd22d42322bcde0225/5ddc97a68c885b76dd8d8667?type1=5e01818f8a17d82f9f66fb26
3.3 明御®入侵检测系统(AiNTA)升级方式
请将规则包升级到1.1.576版本(AiNTA-v1.2.2_release_ruletag_1.1.576)及以上版本。
规则名称:Spring bean代码执行漏洞
规则编号:93009227
AiNTA流探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。
请从AiLPHA安全中心下载规则包。
AiLPHA安全中心地址:
https://ailpha.dbappsecurity.com.cn/index.html#/login
如果没有账号,请从页面注册账号。
3.4 明鉴®漏洞扫描系统/明鉴®远程安全评估系统升级方式
明鉴漏洞扫描系统已发布V1.3.618.577版本规则升级包,已具备检测能力,下载地址是:
http://www.websaas.com.cn:18081/pages/productInfo.html?id=c189a3e6-1319-bc3e-434c-d263de0dd754
具体的升级方式为一键在线升级或离线上传更新。
3.5 云鉴版漏洞扫描系统升级方式
云鉴版漏洞扫描系统已具备最新的Spring远程代码执行漏洞的检测能力,将策略库升级至V1.3.662.578版本,具体的升级方式为离线上传更新。
链接:https://pan.baidu.com/s/1DJZVnPmueVARGykjWivIQg
提取码:3w46
3.6 明鉴®Web应用漏洞扫描系统升级方式
明鉴®Web应用漏洞扫描系统已具备最新的Spring远程代码执行漏洞的检测能力,将策略库升级至V1.0.1.11版本,具体的升级方式为一键在线升级。
安恒信息CERT
2022年3月
原文始发于微信公众号(安恒信息CERT):Spring Framework远程代码执行漏洞(CVE-2022-22965)风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论