网易首页 > 网易号 > 正文 申请入驻

【安全圈】专家预警:Spring Cloud中的RCE漏洞可能是下一个Log4Shell

0
分享至

漏洞

注意:这篇文章是作为CVE-2022-22963已确认和修补漏洞的研究报告。虽然Sysdig的研究人员将Spring Cloud错误地称为“Spring4Shell”,但是应该指出,,由于另一家安全公司将Spring Core中另一个未经证实的漏洞称为“Spring4Shell”,因此现实研究中对于如何称呼它确实存在一些困惑。所以为了避免混淆,本文用Spring4Shell代指Spring Cloud存在的漏洞。

Spring Cloud Function中存在一个令人担忧的安全漏洞,这可能会导致远程代码执行漏洞(RCE)以及整个互联网连接主机威胁。一些研究人员指出,由于该漏洞易于利用以及基于Java的性质特征,它不免让人想起去年12月发现的Log4Shell漏洞。

Sysdig的安全研究员Stefano Chierici在与Threatpost共享的材料中指出:Spring4Shell是存在于一系列基于Java漏洞中的一个。因为他的开发门槛很低,所以我们会看到攻击者利用其技术大量地进行网络攻击。一旦找到攻击目标,网络威胁行为者可能会采用安装加密器、分布式拒绝服务攻击(DDoS)或者远程访问工具包进行攻击。

根据VMware周二的公告,该错误(CVE-2022-22963)影响3.1.6和3.2.2版本以及其他陈旧的、不受支持的版本。相应用户只有更新到3.1.7和3.2.3版本才能安装补丁。

为什么CVSS评分如此低?

虽然它在CVSS(通用漏洞评分系统)评分表上显示为中等严重性,得分为5.4分,但研究人员警告不要低估该漏洞的影响。VMware正在使用CVSSSv3基本指标‘CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L’进行检测评分,但是对于检测该漏洞的保密性、完整性和可用性影响并不具有代表性,Sysdig研究人员Nick Lang和Jason Avery告诉Threatpost。“此漏洞允许攻击者从Spring Cloud的内部打开他的保护系统,这可能就是该漏洞的关键所在。这造成影响十分明显,且不需要用户交互,因此在CVE(通用漏洞披露)中给了一个关键的评级。他们补充说:在他们的测试中,他们验证了不需要用户交互来利用CVE-2022-22963漏洞来获得未经授权的访问的这一可能性。

同时Tenable员工研究工程师Satnam Narang也同意CVSS分数可能无法反映该漏洞所造成的真正影响。他通过电子邮件表示:由于该漏洞被视为远程代码执行缺陷,可以被未经身份验证的攻击者利用,CVSSv3分数似乎可能无法反映该缺陷的实际影响。

而Sophos首席研究科学家Paul Ducklin则指出,它令人震惊地允许“即时RCE”。他告诉Threatpost他认为他的推荐理由十分简单,根本不需要分数来衡量。因为CVE-2022-22693的补丁吸引了很多人的兴趣,而且概念验证代码很容易获得,那么当你可以如此轻松地领先时,为什么要处于一个落后的地位呢?

可能导致大规模的严重后果

Spring Cloud是一套分布式服务框架:即是对在企业中构建分布式应用程序有用的现成组件的集合。它被各家公司广泛使用包括各种应用程序的提供商,比如Kubernetes和Netflix。因此,根据Sysdig的说法,Spring4Shell的发展轨迹令人担忧。Chierici认为:Spring......正在被数百万使用Spring Framework的开发人员使用来创建高性能、易于测试的代码。Spring Cloud Function框架允许开发人员使用Spring功能编写与云无关的功能。这些功能可以是独立的类别,因此可以轻松地将它们部署到任何云平台上,以构建无服务器框架。并且他补充说:由于Spring Cloud Function可用于AWS lambda或Google Cloud Functions等云无服务器功能,这些功能也可能受到影响......在您的云帐户中领先于攻击者。

CVE-2022-22963的影响正在逐步扩大

根据Sysdig的说法,该漏洞可以通过HTTP被加以利用:就像Log4Shell一样,它只需要攻击者向Java应用程序的HTTP服务发送恶意字符串就可以完成攻击的意图了。Chierici解释说:使用路由功能,用户可以提供特别制作的Spring Expression Language(SpEL)作为表达式,以访问本地资源并在主机中执行命令。而CVE-2022-22963的问题在于,它允许通过使用HTTP请求头中spring.cloud.function.routingexpression传入的参数值作为SPEL表达式进行处理。正因如此,不幸的是,使用一个简单的curl命令,就可以十分容易地完成一个漏洞“。curl命令如下:

curl -i -s -k -X $’POST’ -H $’Host: 192.168.1.2:8080′ -H $’spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec(\”touch /tmp/test”)’ –data-binary $’exploit_poc’ $’http://192.168.1.2:8080/functionRouter’

Sysdig在其GitHub页面上发布了一个PoC漏洞,如前所述,其他漏洞正在网络中疯狂流传。Ducklin指出:虽然到目前为止,我们看到的PoC(验证性测试)都只是弹出了一个计算器应用程序,但这足以证明这一点,即服务器上已经安装的任何命令都可以轻松启动。

因此他将该漏洞称为“Spring Expression Resource Access漏洞”或“SPEL漏洞”。他补充说:“这包括远程触发等Web下载程序就像curl(利用URL语法在命令行下工作的文件传输工具),启动命令程序就像bash(Bourne shell的后继兼容版本与开放源代码版本),或者按顺序同时进行这两个程序以安静快速地植入恶意软件。”

安装补丁

据Sysdig称,安装应用补丁后,任何使用Spring Cloud构建的应用程序的人都应该仔细检查他们的安装系统,以确保不存在相应的漏洞。Chierici提醒道:即使用户可能已经升级了数据库或对受漏洞影响的系统应用了其他缓解措施,但用户仍然需要检测环境中是否存在任何利用尝试和破坏的活动。他指出,这种检测可以通过图像扫描仪或运行时检测引擎来进行,以发现已安装的(无扩展名的)系统文件或置标语言中的恶意行为。根据Sysdig的文章所言,对此类漏洞的最佳防御是尽快修补。在当今世界中,清楚地了解用户环境中所使用的软件包是必须的。

END

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
广东新娘和堂姐互撕后续:新娘私下道歉,堂姐曝完整经过,不原谅

广东新娘和堂姐互撕后续:新娘私下道歉,堂姐曝完整经过,不原谅

刘森森
2026-07-10 11:44:27
葡媒痛批葡萄牙七宗罪!曝更衣室撕破脸,C罗的眼泪到底骗了谁?

葡媒痛批葡萄牙七宗罪!曝更衣室撕破脸,C罗的眼泪到底骗了谁?

许三岁
2026-07-09 18:35:58
匈牙利国营电视台停播!并为多年的谎言宣传道歉

匈牙利国营电视台停播!并为多年的谎言宣传道歉

项鹏飞
2026-07-09 20:47:04
湖南女子霸占车位,调解10多小时反要求对方道歉,火箭提拔史被扒

湖南女子霸占车位,调解10多小时反要求对方道歉,火箭提拔史被扒

Mr王的饭后茶
2026-07-10 11:00:44
法国名宿:感觉C罗被队友孤立了,既然派他上球队就应该为他而战

法国名宿:感觉C罗被队友孤立了,既然派他上球队就应该为他而战

云隐南山
2026-07-10 17:29:03
俄媒女主持人曾言:若中国愿出兵300万,俄军很快就能打败乌克兰

俄媒女主持人曾言:若中国愿出兵300万,俄军很快就能打败乌克兰

南宗历史
2026-03-17 16:53:10
伊朗已经意识到,美国一旦翻脸掀桌,海湾6300万桶油将血本无归!

伊朗已经意识到,美国一旦翻脸掀桌,海湾6300万桶油将血本无归!

离离言几许
2026-07-10 19:18:05
显格局!中国男篮广西三剑客驰援家乡,廖三宁10万,庞峥麟1000

显格局!中国男篮广西三剑客驰援家乡,廖三宁10万,庞峥麟1000

林子说事
2026-07-10 15:53:04
【深度】中国开启可回收火箭时代,全球首创的“网系回收”有何玄机?

【深度】中国开启可回收火箭时代,全球首创的“网系回收”有何玄机?

界面新闻
2026-07-10 12:48:58
河南一救援队携“巨无霸”餐车跨越1500公里驰援广西,队员每天五点起床制作千人餐食,炎热天气让衣服一遍遍湿透

河南一救援队携“巨无霸”餐车跨越1500公里驰援广西,队员每天五点起床制作千人餐食,炎热天气让衣服一遍遍湿透

极目新闻
2026-07-10 21:06:49
A股:全体股民做好心理准备了,下周一7.13,A股或将再次历史重演!

A股:全体股民做好心理准备了,下周一7.13,A股或将再次历史重演!

趋势清风侠
2026-07-10 16:22:43
连胜文沉默24小时后发声,两岸共谋统一,台岛军系已行动

连胜文沉默24小时后发声,两岸共谋统一,台岛军系已行动

最美的巧合
2026-07-10 15:48:05
世界杯拖后腿!法国亿级天才彻底迷失,全场高光唯独他低迷

世界杯拖后腿!法国亿级天才彻底迷失,全场高光唯独他低迷

奶盖熊本熊
2026-07-10 07:21:35
步行者一年底薪签下前骑士内线老将,上赛季他的表现惨不忍睹?

步行者一年底薪签下前骑士内线老将,上赛季他的表现惨不忍睹?

稻谷与小麦
2026-07-11 00:05:05
54岁糖尿病患者离世提醒:吃达格列净时,别触碰6个致命误区

54岁糖尿病患者离世提醒:吃达格列净时,别触碰6个致命误区

医学科普汇
2026-07-10 16:18:55
13:10,A股跳水!原因找到了

13:10,A股跳水!原因找到了

中国基金报
2026-07-10 17:25:40
法国强大到没弱点也没对手,外媒:进攻组合50年来最强比肩巴西3R

法国强大到没弱点也没对手,外媒:进攻组合50年来最强比肩巴西3R

杨华评论
2026-07-10 10:02:20
世界杯第一新星成转会大热!里尔开标价1亿欧元,曼城想买他

世界杯第一新星成转会大热!里尔开标价1亿欧元,曼城想买他

里芃芃体育
2026-07-10 00:30:03
科学家发现喝一瓶啤酒等于吞130个塑料颗粒,源头不是瓶子是瓶盖

科学家发现喝一瓶啤酒等于吞130个塑料颗粒,源头不是瓶子是瓶盖

小虎新车推荐员
2026-07-09 18:56:46
梅西也没想到,才14岁的长子蒂亚戈,已经开始为他争光了!

梅西也没想到,才14岁的长子蒂亚戈,已经开始为他争光了!

近史谈
2026-07-10 17:11:41
2026-07-11 00:23:00
安全圈
安全圈
国内首家大安全概念新媒体
6728文章数 4688关注度
往期回顾 全部

科技要闻

中国开启可回收火箭时代

头条要闻

飞行员举报情人诈骗700万:女方上大学"沦陷" 交往12年

头条要闻

飞行员举报情人诈骗700万:女方上大学"沦陷" 交往12年

体育要闻

法国VS摩洛哥:谁才是臭外地的?

娱乐要闻

韩国顶流李钟硕与IU官宣分手!

财经要闻

一封举报信 引发小红书IPO合规考验

汽车要闻

吉利银河TT:C级纯电轿跑新玩家 此TT非彼TT

态度原创

时尚
艺术
教育
游戏
军事航空

夏天也不想露脚趾,除了运动鞋还能穿啥?

艺术要闻

vivo深圳总部,一座“垂直森林”的崛起

教育要闻

为什么UCL排名这么好还会被说水?

上海BW人山人海!PS展台《影之刃零》Coser超帅

军事要闻

以色列:已做好打击伊朗的准备

无障碍浏览 进入关怀版