Spring爆出“核弹”级高危漏洞-复现

2024-03-27 08:40

本文主要是介绍Spring爆出“核弹”级高危漏洞-复现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文末

3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于Java的序列化机制,可导致远程代码执行(RCE),使用JDK9及以上版本皆有可能受到影响

文章目录

      • 导读
      • 事件回顾
        • 临时方案1:WAF临时策略
        • 临时方案2:临时缓解措施
      • 细数Spring漏洞
      • 危机的启示
      • 复现

在这里插入图片描述
参考: netsecurity.51cto.com/article/705255.html

导读

昨晚,又一枚重磅炸弹在技术圈里引爆,不,这次不是Log4j,而是Spring:不法分子可以在远程对目标主机肆意执行恶意代码,可导致任意文件读取,DOS攻击等危害,甚至导致业务服务器被攻陷。

考虑到Spring是全球最受欢迎的轻量级的Java开发框架,全球的安全从业者,又睡不上好觉了。

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

图源:网上针对此事网友的反映

事件回顾

3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于Java的序列化机制,可导致远程代码执行(RCE),使用JDK9及以上版本皆有可能受到影响。

相关监测发现该漏洞可能已被远程攻击者利用,广东省网络安全应急响应中心连夜发布预警通知,考虑到Spring框架的广泛应用,FreeBuf对漏洞评级为:危险。

在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。

目前已知,触发该漏洞需要满足两个基本条件:

  • 使用JDK9及以上版本的Spring MVC框架

  • Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class
    漏洞影响范围:

JDK9 <= Spring Cloud Function

执行“java-version”命令可查看JDK版本

目前Spring官方并没有发布与此漏洞相关的补丁文件,相关漏洞POC也暂未被公开。考虑到自3月29日起已在小范围传播,鉴于Spring MVC的广泛应用,各企业仍需警惕远程攻击者,并采用广东省网络安全应急响应中心公布临时方案加强防护。同时,大家还要密切关注Spring官方的补丁发布情况。


临时方案1:WAF临时策略

在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对“class.”,“Class.”,“.class.”,“.Class.”等字符串的规则过滤,并在部署过滤规则后,对业务允许情况进行测试,避免产生额外影响。

临时方案2:临时缓解措施

在应用系统的项目包下新建以下全局类,并保证这个类被Spring加载到(推荐在Controller所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.web.bind.annotation.InitBinder;@ControllerAdvice
@Order(10000)
public class a {@InitBinderpublic void setAllowedFields(WebDataBinder dataBinder) {String[] abd = new String[] {"class.*", "Class.*", "*.class.*", "*.Class.*"};dataBinder.setDisallowedFields(abd);}
}

细数Spring漏洞

事实上,如果我们回顾一下Spring框架的发展历程,会发现这不是Spring框架第一次被曝出漏洞。

2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL (Spring Expression Language)。

SpEL是基于spring的一个表达式语言,类似于struts的OGNL,能够在运行时动态执行一些运算甚至一些指令,类似于Java的反射功能。

类比Struts2框架,会发现绝大部分的安全漏洞都和OGNL脱不了干系。尤其是远程命令执行漏洞,这导致Struts2越来越不受待见。

因此,Spring引入SpEL必然增加安全风险。事实也是如此,过去多个Spring CVE都与其相关:

1.Spring Security OAuth2 远程命令执行(CVE-2016-4977)

漏洞简介:Spring Security OAuth2是为Spring框架提供安全认证支持的一个模块。Spring Security OAuth2处理认证请求的时候如果使用了whitelabel views,response_type参数值会被当做Spring SpEL来执行,攻击者可以在被授权的情况下通过构造response_type值也就是通过构造恶意SpEL表达式可以触发远程代码执行漏洞。故是在需要知道账号密码的前提下才可以利用该漏洞。

2.Spring Web Flow框架远程代码执行(CVE-2017-4971)

漏洞简介:Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。

Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。

3.Spring Data Rest远程命令执行命令(CVE-2017-8046)

漏洞简介:Spring-data-rest服务器在处理PATCH请求时,攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器,通过构造好的JSON数据来执行任意Java代码。

4.Spring Messaging远程命令执行突破(CVE-2018-1270)

漏洞简介:spring messaging为spring框架提供消息支持,其上层协议是STOMP,底层通信基于SockJS,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,在spring messaging中,其允许客户端订阅消息,并使用selector过滤消息。selector用SpEL表达式编写,并使用StandardEvaluationContext解析,造成命令执行漏洞。

5.Spring Data Commons 远程命令执行漏洞(CVE-2018-1273)

漏洞简介:Spring Data 是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons 是 Spring Data 下所有子项目共享的基础框架。Spring Data Commons 在 2.0.5 及以前版本中,存在一处 SpEL 表达式注入漏洞,攻击者可以注入恶意 SpEL 表达式以执行任意命令。

除了上述漏洞,不久前Spring发布的漏洞,想必大部分人还有印象:

今年3月1日,Spring官方发布了Spring Cloud Gateway的两个CVE漏洞,分别为CVE-2022-22946(严重性:Medium)与CVE-2022-22947(代码注入漏洞,严重性:Critical)。

(1)HTTP2不安全的TrustManager(CVE-2022-22946):Spring Cloud Gateway 如果配置并启用HTTP2,且未设置密钥存储或受信任证书,这样Spring Cloud Gateway就能被无效或自定义的证书连接到远程服务。

(2)远程代码执行漏洞(CVE-2022-22947):当Spring Cloud Gateway Actuator 端点被启用和暴露时,使用Spring Cloud Gateway的应用程序会存在远程代码注入攻击的风险,即攻击者可以远程发出恶意攻击请求,允许在远程服务器上进行任意代码执行。

危机的启示

这次Spring框架曝出的0day漏洞,算得上是比Log4j2漏洞还大的核弹,让很多人猝不及防。

考虑到受影响的是升级到JDK9+的版本,这件事件也可以给我们一些启示:无论是在开发还是生产环境,没必要一定用最新版本的软件,只需要使用最稳定版本的软件就够了。

在这里插入图片描述

复现

https://tanzu.vmware.com/security/cve-2022-22950

在这里插入图片描述

这篇关于Spring爆出“核弹”级高危漏洞-复现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/851548

相关文章

Java学习手册之Filter和Listener使用方法

《Java学习手册之Filter和Listener使用方法》:本文主要介绍Java学习手册之Filter和Listener使用方法的相关资料,Filter是一种拦截器,可以在请求到达Servl... 目录一、Filter(过滤器)1. Filter 的工作原理2. Filter 的配置与使用二、Listen

Spring Boot中JSON数值溢出问题从报错到优雅解决办法

《SpringBoot中JSON数值溢出问题从报错到优雅解决办法》:本文主要介绍SpringBoot中JSON数值溢出问题从报错到优雅的解决办法,通过修改字段类型为Long、添加全局异常处理和... 目录一、问题背景:为什么我的接口突然报错了?二、为什么会发生这个错误?1. Java 数据类型的“容量”限制

Java对象转换的实现方式汇总

《Java对象转换的实现方式汇总》:本文主要介绍Java对象转换的多种实现方式,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录Java对象转换的多种实现方式1. 手动映射(Manual Mapping)2. Builder模式3. 工具类辅助映

SpringBoot请求参数接收控制指南分享

《SpringBoot请求参数接收控制指南分享》:本文主要介绍SpringBoot请求参数接收控制指南,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring Boot 请求参数接收控制指南1. 概述2. 有注解时参数接收方式对比3. 无注解时接收参数默认位置

SpringBoot基于配置实现短信服务策略的动态切换

《SpringBoot基于配置实现短信服务策略的动态切换》这篇文章主要为大家详细介绍了SpringBoot在接入多个短信服务商(如阿里云、腾讯云、华为云)后,如何根据配置或环境切换使用不同的服务商,需... 目录目标功能示例配置(application.yml)配置类绑定短信发送策略接口示例:阿里云 & 腾

SpringBoot项目中报错The field screenShot exceeds its maximum permitted size of 1048576 bytes.的问题及解决

《SpringBoot项目中报错ThefieldscreenShotexceedsitsmaximumpermittedsizeof1048576bytes.的问题及解决》这篇文章... 目录项目场景问题描述原因分析解决方案总结项目场景javascript提示:项目相关背景:项目场景:基于Spring

Spring Boot 整合 SSE的高级实践(Server-Sent Events)

《SpringBoot整合SSE的高级实践(Server-SentEvents)》SSE(Server-SentEvents)是一种基于HTTP协议的单向通信机制,允许服务器向浏览器持续发送实... 目录1、简述2、Spring Boot 中的SSE实现2.1 添加依赖2.2 实现后端接口2.3 配置超时时

Spring Boot读取配置文件的五种方式小结

《SpringBoot读取配置文件的五种方式小结》SpringBoot提供了灵活多样的方式来读取配置文件,这篇文章为大家介绍了5种常见的读取方式,文中的示例代码简洁易懂,大家可以根据自己的需要进... 目录1. 配置文件位置与加载顺序2. 读取配置文件的方式汇总方式一:使用 @Value 注解读取配置方式二

一文详解Java异常处理你都了解哪些知识

《一文详解Java异常处理你都了解哪些知识》:本文主要介绍Java异常处理的相关资料,包括异常的分类、捕获和处理异常的语法、常见的异常类型以及自定义异常的实现,文中通过代码介绍的非常详细,需要的朋... 目录前言一、什么是异常二、异常的分类2.1 受检异常2.2 非受检异常三、异常处理的语法3.1 try-

Java中的@SneakyThrows注解用法详解

《Java中的@SneakyThrows注解用法详解》:本文主要介绍Java中的@SneakyThrows注解用法的相关资料,Lombok的@SneakyThrows注解简化了Java方法中的异常... 目录前言一、@SneakyThrows 简介1.1 什么是 Lombok?二、@SneakyThrows