产品动态 > 正文

漏洞公告 | 关于Spring框架远程代码执行漏洞的处置公告

2022-04-01

3月29日,网宿安全实验室监测到,Spring框架存在远程代码执行漏洞。经紧急研判,攻击者通过该漏洞,可在未授权的情况下远程执行命令,获取服务器权限。网宿安全实验室第一时间启动0day应急流程,上线防护规则,为平台用户开启拦截。

Spring框架作为最流行的企业级 Java 应用程序开发框架,被全球数百万开发人员用以简化应用开发难度、缩短开发周期,该漏洞影响范围极广。目前,该漏洞信息已在网络中广泛传播,Spring官方也已发布官方补丁,网宿安全建议企业第一时间启动应急修复。

漏洞详情

受影响的版本:版本低于5.3.18和5.2.20的Spring框架或其衍生框架构建的网站或应用

CNVD编号:CNVD-2022-23942

CVE编号:CVE-2022-22965

POC状态:已公开

在野利用状态:存在

漏洞威胁程度:高危

漏洞复现

网宿科技黄莎琳:5G 与边缘计算“相互成就” 会持续深耕

处置建议

升级至安全版本:

目前官方已发布安全版本修复此漏洞,请受影响的用户尽快升级。
安全版本下载链接:https://github.com/spring-projects/spring-framework/releases

接入网宿云WAF进行防护:

网宿云WAF已支持对该漏洞利用攻击的防护。网宿将持续监测各类0day漏洞情报,第一时间上线防护规则,缩短0day“空窗期”。

网宿科技黄莎琳:5G 与边缘计算“相互成就” 会持续深耕

漏洞排查方式:

同时满足以下两个条件,可确定受此漏洞影响:

1、排查JDK版本号:执行“java-version"命令查看运行的JDK版本,如果版本号大于8,则受此漏洞影响。

2、排查业务系统是否使用了Spring及其衍生框架:
如果业务以如果业务以jar包形式直接独立运行,可按以下步骤进行判断war包形式部署,可按以下步骤进行判断:

①解压war包:将war文件后缀修改为.zip,解压该zip文件;

②查找解压目录下是否存在spring-beans-.jar格式的jar文件,如存在则说明业务系统使用了Spring框架;
③如果spring-beans-
.jar文件不存在,则在解压目录下搜索
CachedIntrospection.Results.class文件是否存在,如存在则说明业务系统使用了Spiring框架。

如果业务以jar包形式直接独立运行,可按以下步骤进行判断:

①解压jar包:将jar文件后缀修改为.zip,解压该zip文件
②查找解压目录下是否存在spring-beans-.jar格式的jar文件,如存在则说明业务系统使用了Spring框架;
③如果spring-beans-
.jar文件不存在,则在解压目录下搜索
CachedIntrospection.Results.class文件是否存在,如存在则说明业务系统使用了Spiring框架。

其他缓解措施:

其他相关用户,建议可在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对“class. * ” ,“Class.”,“.class.”,“.Class.*”等字符串的特征过滤,并在部署规则后,实时关注业务运行情况,避免产生其他影响。

本文内容的版权持有者为网宿科技股份有限公司(“网宿科技”),未经许可,不得转载。