查看原文
其他

安天全线产品有效应对Spring框架远程命令执行漏洞

安天集团 2022-07-07
点击上方"蓝字"关注我们吧!



01概述
3月31日,国家信息安全漏洞共享平台(CNVD)发布了《关于Spring框架存在远程命令执行漏洞的安全公告》。公告指出,攻击者利用该漏洞,可在未授权的情况下远程执行命令,目前,漏洞利用方法已经被各类攻击者掌握,Spring官方已发布补丁修复该漏洞。安天全程跟进了该漏洞线索出现、信息曝光等相关情况,快速响应,部署感知能力,及时将跟进情况报送CNVD,安天等5家网络安全厂商获得了CNVD的致谢。关于该漏洞的情况可详见安天公众号今日发布的第二条文章。目前,安天全线产品可帮助用户有效响应Spring框架远程命令执行漏洞。本文第5部分提供了针对该漏洞的解决方案。

02漏洞危害等级

危害等级:高危。


说明:由于攻击者不需要认证和交互,攻击门槛较低,且触发方式相对简单。



03受漏洞影响的版本范围

SpringFramework < 5.3.18

SpringFramework < 5.2.20

及其衍生产品

 JDK≥ 9

JRE≥ 9



04漏洞排查方法

4.1 JDK版本号排查


在业务系统的运行服务器上,执行“java -version”命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响。


4.2 Spring框架使用情况排查


如果业务系统项目以war包形式部署,按照如下步骤进行判断。
(1)解压war包:将war文件的后缀修改成.zip,解压zip文件。

(2)在解压缩目录下搜索是否存在 spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了spring框架进行开发。


(3)如果spring-beans-*.jar 文件不存在,则在解压缩目录下搜索CachedIntrospectionResuLts.class文件是否存在,如存在则说明业务系统使用了Spring框架开发。


如果业务系统项目以jar包形式直接独立运行,按照如下步骤进行判断。


(1)解压jar包:将jar文件的后缀修改成.zip,解压zip文件。


(2)在解压缩目录下搜索是否存在spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了spring框架进行开发。


(3)如果spring-beans-*.jar 文件不存在,则在解压缩目录下搜索CachedIntrospectionResuLts.class 文件是否存在,如存在则说明业务系统使用了spring框架进行开发。

05安全建议及解决方案

Spring官方已于2022年3月31日发布新版本,修复了此漏洞,请受影响的用户及时更新至最新版本:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement


安天全线产品从流量检测、终端防御、WEB防护、蜜罐捕获等不同角度,分别提供了针对该漏洞的解决方案。


5.1 流量检测


安天探海产品已可针对SpringCloud、Spring Core远程命令执行漏洞利用事件进行检出。已包含相关检测规则的网络威胁行为规则库版本为:Antiy_AVLX_2022033012_bcd8aa4b407d03fdbfa5a11499a0eee5(请确认系统版本为:6.6.1.2 sp1 及以上,更老的版本请先升级到最新版本)


若用户已加入安天动态均衡防护计划,设备将在一天内自动收到更新包并进行检测。请关注下表中规则的检出信息,检出时将自动留存相关证据pcap供下载分析。


表5-1 Spring流量检测规则信息

漏洞编号

告警名称

事件描述

CVE-2022-22965

ExploitWeb:CodeExecute/Spring.700050808!c2s

ExploitWeb:CodeExecute/Spring.700050809!c2s

ExploitWeb:CodeExecute/Spring.700050810!c2s

疑似Spring-Beans远程代码执行漏洞

CVE-2022-22965

ExploitWeb:CodeExecute/SpringCore.2312100121@upload-file!c2s

利用-漏洞-发现通过SpringCore核心组件(CVE-2022-22965)-尝试文件注入

CVE-2022-22965

Suspicious:Datagram/SpringCore.2312100120@rce-req!c2s

异常-提交-疑似通过SpringCore核心组件(CVE-2022-22965)-提交Payload

CVE-2022-22965

ExploitWeb:CodeExecute/SpringCore.2312100119@upload-file!c2s

利用-漏洞-发现通过SpringCore核心组件(CVE-2022-22965)-尝试文件注入

CVE-2022-22965

ExploitWeb:CodeExecute/SpringCore.2312100118@rce-req!c2s

利用-漏洞-发现通过SpringCore核心组件(CVE-2022-22965)-任意代码执行

CVE-2022-22963

ExploitWeb:CodeExecute/Spring.2312100116@spel-injection!c2s

利用-漏洞-发现通过Spring组件漏洞(CVE-2022-22963)-进行SPEL表达式注入

CVE-2022-22963

ExploitWeb:CodeExecute/Spring.2312100117@spel-injection!s2c

利用-漏洞-发现通过Spring组件漏洞(CVE-2022-22963)-组件已受到影响

CVE-2022-22947

ExploitWeb:CodeInjection/Spring.2312500019@rce-req!c2s

Spring Cloud Gateway spel注入远程代码执行  CVE-2022-2294


若用户未加入此计划,建议立即联系安天售后服务热线,以获取规则更新包,或等待下一次常规更新。售后热线:400-840-9234


若用户已从其他途径获取更多威胁情报,可通过设备的“自定义规则”(针对IP、域名、URL),“流量检测规则”—“自定义规则“(针对SNORT规则)进行威胁情报应用。若网内发现了威胁的相关线索,可通过“目标审计”功能对可疑主机进行全流量获取分析。

图5-1 安天探海检出事件列表


图5-2 安天探海检出结果


图5-3 安天探海检出数据包详情


注:安天探海产品所有型号及版本自身不受此漏洞影响。


5.2 终端防御
安天智甲最新版本已实现对Spring Framework 远程命令执行漏洞检测,并且针对Windows终端和Linux终端均已具有检测能力。用户安装智甲客户端程序后,可使用“漏洞修复”功能检测终端系统环境是否存在该漏洞,如果终端存在该漏洞,用户可直接通过程序查看相关信息,如下图:

图5-4 Windows客户端检测界面


图5-5 Linux客户端检测界面


5.3 WEB防护


安天下一代WAF已实现利用Spring Framework远程命令执行漏洞进行攻击的有效防护。


将安天下一代WAF升级至最新版本特征库(Sigdb-V2-1000-45)即包含针对该漏洞的特定防护规则。


具体过程为:
(1)创建一条攻击特征检测策略”Spring RCE”,确保”已知漏洞防护”类型的防护状态为开启。



 (2)保存后在站点设置的”安全防护设置”中引用该预定义特征检测策略。
        

 

(3)当检测到服务器遭受该远程漏洞攻击时,攻击日志中可以看到触发该预定义特征的详情。


5.4 蜜罐捕获


安天捕风蜜罐系统是诱骗黑客攻击的威胁感知产品,适用于内网、外网、隔离网等场景捕获威胁,生成威胁事件、攻击链等溯源信息,发现外部攻击源和内部失陷主机,尤其适用于护网场景,协助防守方快速得分。通过诱饵部署、仿真与部署环境相似的蜜罐资产来使攻击者“真假难辨”,拖延攻击者,系统提供包括网络设备仿真、WEB仿真、数据库仿真、操作系 统仿真、系统服务仿真、应用服务仿真等持续丰富的仿真能力;具备网络、系统、日志等数据全面采集,具备网络检测、文件检测,攻击阶段行为检测,聚合攻击链和原始攻击包。
根据漏洞报告,捕风蜜罐已经具有相关漏洞触发所需的仿真服务环境,并第一时间集成了该漏洞检测规则,并在公网部署了漏洞环境,实时监控最新漏洞利用情况。

图5-6 捕风蜜罐检测漏洞入侵事件


如果客户的设备版本是v3.3.6.0及以上,可以通过部署 Scada LTS 仿真资产来发现威胁。


需提醒客户重点检出特征ID:130000031
参考资料:


[1] https://www.cnvd.org.cn/webinfo/show/7541


[2] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement


[3] https://github.com/spring-projects/spring-framework/commit/7f7fb58dd0dae86d22268a4b59ac7c72a6c22529


[4] https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18

往期回顾

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存