安天全线产品有效应对Spring框架远程命令执行漏洞
3月31日,国家信息安全漏洞共享平台(CNVD)发布了《关于Spring框架存在远程命令执行漏洞的安全公告》。公告指出,攻击者利用该漏洞,可在未授权的情况下远程执行命令,目前,漏洞利用方法已经被各类攻击者掌握,Spring官方已发布补丁修复该漏洞。安天全程跟进了该漏洞线索出现、信息曝光等相关情况,快速响应,部署感知能力,及时将跟进情况报送CNVD,安天等5家网络安全厂商获得了CNVD的致谢。关于该漏洞的情况可详见安天公众号今日发布的第二条文章。目前,安天全线产品可帮助用户有效响应Spring框架远程命令执行漏洞。本文第5部分提供了针对该漏洞的解决方案。
02漏洞危害等级
危害等级:高危。
说明:由于攻击者不需要认证和交互,攻击门槛较低,且触发方式相对简单。
03受漏洞影响的版本范围
● SpringFramework < 5.3.18
● SpringFramework < 5.2.20
及其衍生产品
● JDK≥ 9
● JRE≥ 9
04漏洞排查方法
4.1 JDK版本号排查
(1)解压war包:将war文件的后缀修改成.zip,解压zip文件。
(2)在解压缩目录下搜索是否存在 spring-beans-*.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了spring框架进行开发。
(3)如果spring-beans-*.jar 文件不存在,则在解压缩目录下搜索CachedIntrospectionResuLts.class文件是否存在,如存在则说明业务系统使用了Spring框架开发。
如果业务系统项目以jar包形式直接独立运行,按照如下步骤进行判断。
05安全建议及解决方案
Spring官方已于2022年3月31日发布新版本,修复了此漏洞,请受影响的用户及时更新至最新版本:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
表5-1 Spring流量检测规则信息
漏洞编号 | 告警名称 | 事件描述 |
CVE-2022-22965 | ExploitWeb:CodeExecute/Spring.700050808!c2s ExploitWeb:CodeExecute/Spring.700050809!c2s ExploitWeb:CodeExecute/Spring.700050810!c2s | 疑似Spring-Beans远程代码执行漏洞 |
CVE-2022-22965 | ExploitWeb:CodeExecute/SpringCore.2312100121@upload-file!c2s | 利用-漏洞-发现通过SpringCore核心组件(CVE-2022-22965)-尝试文件注入 |
CVE-2022-22965 | Suspicious:Datagram/SpringCore.2312100120@rce-req!c2s | 异常-提交-疑似通过SpringCore核心组件(CVE-2022-22965)-提交Payload |
CVE-2022-22965 | ExploitWeb:CodeExecute/SpringCore.2312100119@upload-file!c2s | 利用-漏洞-发现通过SpringCore核心组件(CVE-2022-22965)-尝试文件注入 |
CVE-2022-22965 | ExploitWeb:CodeExecute/SpringCore.2312100118@rce-req!c2s | 利用-漏洞-发现通过SpringCore核心组件(CVE-2022-22965)-任意代码执行 |
CVE-2022-22963 | ExploitWeb:CodeExecute/Spring.2312100116@spel-injection!c2s | 利用-漏洞-发现通过Spring组件漏洞(CVE-2022-22963)-进行SPEL表达式注入 |
CVE-2022-22963 | ExploitWeb:CodeExecute/Spring.2312100117@spel-injection!s2c | 利用-漏洞-发现通过Spring组件漏洞(CVE-2022-22963)-组件已受到影响 |
CVE-2022-22947 | ExploitWeb:CodeInjection/Spring.2312500019@rce-req!c2s | Spring Cloud Gateway spel注入远程代码执行 CVE-2022-2294 |
若用户未加入此计划,建议立即联系安天售后服务热线,以获取规则更新包,或等待下一次常规更新。售后热线:400-840-9234
图5-1 安天探海检出事件列表
图5-2 安天探海检出结果
安天智甲最新版本已实现对Spring Framework 远程命令执行漏洞检测,并且针对Windows终端和Linux终端均已具有检测能力。用户安装智甲客户端程序后,可使用“漏洞修复”功能检测终端系统环境是否存在该漏洞,如果终端存在该漏洞,用户可直接通过程序查看相关信息,如下图:
图5-4 Windows客户端检测界面
图5-5 Linux客户端检测界面
5.3 WEB防护
(1)创建一条攻击特征检测策略”Spring RCE”,确保”已知漏洞防护”类型的防护状态为开启。
5.4 蜜罐捕获
根据漏洞报告,捕风蜜罐已经具有相关漏洞触发所需的仿真服务环境,并第一时间集成了该漏洞检测规则,并在公网部署了漏洞环境,实时监控最新漏洞利用情况。
参考资料: