关于星河云企业安全管家
星河云企业安全管家以全量流量分析为基础,统一安全管理中心为核心,为用户提供7*24小时一站式安全运营,实现勒索病毒、挖矿病毒、DDOS攻击、0Day漏洞等安全事件的实时监测与闭环处置,为用户降低或避免因网络安全事件带来的巨大损失。
针对近期爆发的重量级漏洞“Spring Rce 0Day”,星河云安全专家第一时间提取该漏洞的有效检测规则,更新到星河云威胁特征库,提供配套防护手段,可实现针对该漏洞利用行为的检测和防护能力。
一. 漏洞介绍
2022年3月,国内安全研究员发现了spring框架存在严重安全缺陷(CVE-2022-22965),该漏洞为CVE-2010-1622的补丁绕过,此前修复是基于jdk8及以下版本。从jdk9开始,Class类中新增了一个新的方法getModule,可通过该方法绕过之前的补丁。
目前已知的利用方式为覆盖tomcat内存中的日志配置进行任意文件写入。具体原理是利用class属性进一步获取tomcat的AccessLogValve对象,利用其setter方法修改tomcat运行时的日志记录配置,攻击者可基于此生成jsp恶意文件。
Spring框架应用面极广,影响面极大,使用spring框架及衍生框架的系统均受此漏洞影响。目前spring官方已公布漏洞补丁,建议相关用户及时开展安全检测,及时进行修补更新,做好相关防护措施,避免被外部攻击者入侵。
二. 影响范围
触发该漏洞需要满足的三个基本条件:
// 1
|使用spring框架(spring核心包)
// 2
|JDK版本为9及以上
// 3
|Controller方法参数符合JavaBean规范
三. 漏洞危险等级
高危
四. 复现
星河云安全专家已验证该漏洞的可利用性,复现结果如下:
利用spring rce漏洞进行攻击可成功写入任意文件
编辑切换为居中
图片
可看到上传jsp文件中whoami命令的执行结果:
编辑切换为居中
图片
被攻击后,运行中的tomcat日志配置将会被修改,造成预先配置的日志存储文件无法记录日志,恢复需重启tomcat。
五. 防御建议
1目前,Spring官方已发布修复了漏洞的新版本,请用户及时更新至最新版本。
https://github.com/spring-projects/spring-framework/tags
安全版本:
Spring Framework == 5.3.18
Spring Framework == 5.2.20
2在应用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。(可能会影响性能)
import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice
@Order(10000)
public class a{undefined
@InitBinder
public void setAllowedFields(WebDataBinder dataBinder) {undefined
String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};
dataBinder.setDisallowedFields(abd);
}
}
//云端检测申请
///
SECURITY
目前,星河云企业安全管家云端规则库已自动更新升级,向已部署管家服务的用户提供智能化检测服务,其他安全防护类产品也已同步更新检测策略。
由于用户自行检测存在一定风险,针对此次安全事件,中新赛克可面向用户提供远程检测服务,相关客户可拨打官方电话:025-52627967申请云端检测服务,专业安全团队将7*24h为您提供全方位安全服务!
后续星河工业安全公众号也将会对该漏洞信息持续更新报道。