A ゼロデイ Spring Framework バージョン 2022 ~ 22965、4 ~ 5.3.0 およびそれ以前のバージョンでは、重大なリモート コード実行の脆弱性が CVE-5.3.17-5.2.0 (別名 Spring5.2.19Shell または SpringShell) として特定されています。
Spring Frameworkは、オープンソースで人気が高く、機能豊富なアプリケーションフレームワークです。最新のエンタープライズJavaウェブアプリケーションの構築に使用されます。この広く使用されているフレームワークには、公開されているエクスプロイトが存在し、非常に危険です。
CVE-2022-22965「Spring4Shell」の脆弱性はなぜそれほど危険なのでしょうか?
JDK 9以降で動作する、脆弱性のないSpring Framework、SpringMVC、またはSpring WebFluxアプリケーションは、データバインディングを介してリモートコード実行の脆弱性を悪用される可能性があります。この脆弱性は、Javaクラスプロパティの不適切な処理(クラスインジェクションを利用する)に起因します。同時に、HTTP入力バインディングと細工されたHTTPリクエストは、リモートコード実行攻撃につながり、認証を必要とせずにSpring Javaアプリケーションを侵害する可能性があります。
ベンダーのアドバイザリによると、「アプリケーションがデフォルトのSpring Boot実行可能jarとしてデプロイされている場合、この脆弱性の脆弱性は存在しません。ただし、この脆弱性の性質はより一般的なものであり、他の方法で悪用される可能性があります。」
影響を受けるソフトウェアとバージョン
- JDK 9以上
- サーブレットコンテナとしてのApache Tomcat
- 従来の WAR としてパッケージ化されています (Spring Boot 実行可能 jar とは対照的)
- Spring-webmvc または Spring-webflux 依存関係
- Spring Framework バージョン 5.3.0 ~ 5.3.17、5.2.0 ~ 5.2.19、およびそれ以前のバージョン
「Spring4Shell」の緩和策
- すぐに Spring Framework 5.3.18 および 5.2.20 以降のバージョンに更新してください。
- 私たちを参照してください ベンダーアドバイザリ.
- ネットワーク セキュリティ ソリューションとエンドポイントを最新の定義で更新します。
A CVE-2022-22963、リモートコード実行の脆弱性は、Spring Cloud Functions バージョン 3.1.6、3.2.2、およびそれ以前のルーティング機能でも確認されています。ハッカーは、細工された SpEL ルーティング式を送信することでこれを悪用し、リモートコード実行を引き起こす可能性があります。影響を受けるバージョンは、3.1.7 および 3.2.3 にアップグレードする必要があります。
「Spring4Shell」に関するSeqriteの記事。
Spring4Shellやその他の脆弱性を悪用したリモート攻撃を識別・ブロックするためのIPSルールをリリースしました。この脅威に関する動向を継続的に監視し、検出機能を更新していきます。お客様には、システムにパッチを適用し、最新のVDBアップデートでアンチウイルスソフトウェアを最新の状態に維持することをお勧めします。
