Spring爆出“核弹”级高危漏洞-复现

文末

3月29日，Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于Java的序列化机制，可导致远程代码执行(RCE)，使用JDK9及以上版本皆有可能受到影响

参考： netsecurity.51cto.com/article/705255.html

导读

昨晚，又一枚重磅炸弹在技术圈里引爆，不，这次不是Log4j，而是Spring：不法分子可以在远程对目标主机肆意执行恶意代码，可导致任意文件读取，DOS攻击等危害，甚至导致业务服务器被攻陷。

考虑到Spring是全球最受欢迎的轻量级的Java开发框架，全球的安全从业者，又睡不上好觉了。

事件回顾

3月29日，Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于Java的序列化机制，可导致远程代码执行(RCE)，使用JDK9及以上版本皆有可能受到影响。

相关监测发现该漏洞可能已被远程攻击者利用，广东省网络安全应急响应中心连夜发布预警通知，考虑到Spring框架的广泛应用，FreeBuf对漏洞评级为：危险。

在Spring框架的JDK9版本（及以上版本）中，远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值，从而触发pipeline机制并写入任意路径下的文件。

目前已知，触发该漏洞需要满足两个基本条件：

• 使用JDK9及以上版本的Spring MVC框架

• Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class
  漏洞影响范围：

JDK9 <= Spring Cloud Function

执行“java-version”命令可查看JDK版本

目前Spring官方并没有发布与此漏洞相关的补丁文件，相关漏洞POC也暂未被公开。考虑到自3月29日起已在小范围传播，鉴于Spring MVC的广泛应用，各企业仍需警惕远程攻击者，并采用广东省网络安全应急响应中心公布临时方案加强防护。同时，大家还要密切关注Spring官方的补丁发布情况。

临时方案1：WAF临时策略

在WAF等网络防护设备上，根据实际部署业务的流量情况，实现对“class.”，“Class.”，“.class.”，“.Class.”等字符串的规则过滤，并在部署过滤规则后，对业务允许情况进行测试，避免产生额外影响。

临时方案2：临时缓解措施

在应用系统的项目包下新建以下全局类，并保证这个类被Spring加载到(推荐在Controller所在的包中添加).完成类添加后，需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.web.bind.annotation.InitBinder;@ControllerAdvice
@Order(10000)
public class a {@InitBinderpublic void setAllowedFields(WebDataBinder dataBinder) {String[] abd = new String[] {"class.*", "Class.*", "*.class.*", "*.Class.*"};dataBinder.setDisallowedFields(abd);}
}

细数Spring漏洞

事实上，如果我们回顾一下Spring框架的发展历程，会发现这不是Spring框架第一次被曝出漏洞。

2009年9月Spring 3.0 RC1发布后，Spring就引入了SpEL (Spring Expression Language)。

SpEL是基于spring的一个表达式语言，类似于struts的OGNL，能够在运行时动态执行一些运算甚至一些指令，类似于Java的反射功能。

类比Struts2框架，会发现绝大部分的安全漏洞都和OGNL脱不了干系。尤其是远程命令执行漏洞，这导致Struts2越来越不受待见。

因此，Spring引入SpEL必然增加安全风险。事实也是如此，过去多个Spring CVE都与其相关：

1.Spring Security OAuth2 远程命令执行（CVE-2016-4977）

漏洞简介:Spring Security OAuth2是为Spring框架提供安全认证支持的一个模块。Spring Security OAuth2处理认证请求的时候如果使用了whitelabel views，response_type参数值会被当做Spring SpEL来执行，攻击者可以在被授权的情况下通过构造response_type值也就是通过构造恶意SpEL表达式可以触发远程代码执行漏洞。故是在需要知道账号密码的前提下才可以利用该漏洞。

2.Spring Web Flow框架远程代码执行(CVE-2017-4971)

漏洞简介:Spring Web Flow是Spring的一个子项目，主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题，提供了描述业务流程的抽象能力。

Spring WebFlow 是一个适用于开发基于流程的应用程序的框架（如购物逻辑），可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中，如果我们控制了数据绑定时的field，将导致一个SpEL表达式注入漏洞，最终造成任意命令执行。

3.Spring Data Rest远程命令执行命令(CVE-2017-8046)

漏洞简介:Spring-data-rest服务器在处理PATCH请求时，攻击者可以构造恶意的PATCH请求并发送给spring-date-rest服务器，通过构造好的JSON数据来执行任意Java代码。

4.Spring Messaging远程命令执行突破(CVE-2018-1270)

漏洞简介：spring messaging为spring框架提供消息支持，其上层协议是STOMP，底层通信基于SockJS，STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞，在spring messaging中，其允许客户端订阅消息，并使用selector过滤消息。selector用SpEL表达式编写，并使用StandardEvaluationContext解析，造成命令执行漏洞。

5.Spring Data Commons 远程命令执行漏洞(CVE-2018-1273)

漏洞简介：Spring Data 是一个用于简化数据库访问，并支持云服务的开源框架，Spring Data Commons 是 Spring Data 下所有子项目共享的基础框架。Spring Data Commons 在 2.0.5 及以前版本中，存在一处 SpEL 表达式注入漏洞，攻击者可以注入恶意 SpEL 表达式以执行任意命令。

除了上述漏洞，不久前Spring发布的漏洞，想必大部分人还有印象：

今年3月1日，Spring官方发布了Spring Cloud Gateway的两个CVE漏洞，分别为CVE-2022-22946（严重性：Medium）与CVE-2022-22947（代码注入漏洞，严重性：Critical）。

（1）HTTP2不安全的TrustManager（CVE-2022-22946）：Spring Cloud Gateway 如果配置并启用HTTP2，且未设置密钥存储或受信任证书，这样Spring Cloud Gateway就能被无效或自定义的证书连接到远程服务。

（2）远程代码执行漏洞（CVE-2022-22947）：当Spring Cloud Gateway Actuator 端点被启用和暴露时，使用Spring Cloud Gateway的应用程序会存在远程代码注入攻击的风险，即攻击者可以远程发出恶意攻击请求，允许在远程服务器上进行任意代码执行。

危机的启示

这次Spring框架曝出的0day漏洞，算得上是比Log4j2漏洞还大的核弹，让很多人猝不及防。

考虑到受影响的是升级到JDK9+的版本，这件事件也可以给我们一些启示：无论是在开发还是生产环境，没必要一定用最新版本的软件，只需要使用最稳定版本的软件就够了。

复现

https://tanzu.vmware.com/security/cve-2022-22950