2022 年 3 月 31 日公布了 Spring Framework RCE 漏洞 (CVE-2022-22965)
漏洞
Spring Framework是一个开源的轻量级J2EE应用开发框架,提供IOC、AOP、MVC等功能。 Spring Framework可以解决程序员在开发中遇到的常见问题,提高应用开发的便利性和软件系统的构建效率。
该漏洞影响在 JDK 9+ 上运行的 Spring MVC 和 Spring WebFlux 应用程序。特定的漏洞利用需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序部署为 Spring Boot 可执行 jar,即默认情况,则它不易受到攻击。
这些是报告中特定场景的要求:
- JDK 9 或更高版本
- Apache Tomcat 作为 Servlet 容器
- 打包为传统的 WAR(与 Spring Boot 可执行 jar 相比)
- spring-webmvc 或 spring-webflux 依赖
- Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 和旧版本
然而,该漏洞的性质更为普遍,可能还有其他尚未报道的利用方法。
漏洞详情:
- 漏洞等级: 高风险
- 受影响的版本:
弹簧框架 5.3.x < 5.3.18
弹簧框架 5.2.x < 5.2.20
- 安全版本:
弹簧框架 = 5.3.18
弹簧框架 = 5.2.20
建议的解决方法
将 Spring Framework 升级到 5.3.18、5.2.20 或更高版本
CDNetworks 部署新规则以缓解 Spring Framework RCE
CDNetworks 安全团队第一时间响应该高危漏洞,于2022 年3 月31 日为CDNetworks 的系统和产品部署了新的WAF 规则(9801,9802,9803)以缓解零日CVE。
当前正在使用的任何客户 Application Shield(DDoS防护及Web应用防火墙) 或者 Web 应用防火墙 将接收新规则的更新 (9801,9802,9803) 并在 CDNetworks 的门户上启用块模式以检测 CVE-2022-22965 漏洞利用尝试并缓解此零日 CVE。
| 规则编号 | 规则名称 | 攻击类型 | 行动 |
|
9803 |
Spring4shell_3 |
第三方组件利用 |
堵塞 |
|
9802 |
Spring4shell_2 |
第三方组件利用 |
堵塞 |
|
9801 |
Sping4shell_1 |
第三方组件利用 |
堵塞 |
参考: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
