安天全线产品有效应对Spring框架远程命令执行漏洞

时间： 2022年04月01日来源：安天

1.概述

3月31日，国家信息安全漏洞共享平台（CNVD）发布了《关于Spring框架存在远程命令执行漏洞的安全公告》。公告指出，攻击者利用该漏洞，可在未授权的情况下远程执行命令，目前，漏洞利用方法已经被各类攻击者掌握，Spring官方已发布补丁修复该漏洞。安天全程跟进了该漏洞线索出现、信息曝光等相关情况，快速响应，部署感知能力，及时将跟进情况报送CNVD，安天等5家网络安全厂商获得了CNVD的致谢。关于该漏洞的情况可详见安天公众号今日发布的第二条文章。目前，安天全线产品可帮助用户有效响应Spring框架远程命令执行漏洞。本文第5部分提供了针对该漏洞的解决方案。

2.漏洞危害等级

危害等级：高危。

说明：由于攻击者不需要认证和交互，攻击门槛较低，且触发方式相对简单。

3.受漏洞影响的版本范围

● Spring Framework < 5.3.18

● Spring Framework < 5.2.20

● 及其衍生产品

● JDK ≥ 9

● JRE ≥ 9

4.漏洞排查方法

4.1 JDK版本号排查

在业务系统的运行服务器上，执行“java -version”命令查看运行的JDK版本，如果版本号小于等于8，则不受漏洞影响。

4.2 Spring框架使用情况排查

如果业务系统项目以war包形式部署，按照如下步骤进行判断。

（1）解压war包：将war文件的后缀修改成.zip ,解压zip文件

（2）在解压缩目录下搜索是否存在 spring-beans-*.jar 格式的jar文件（例如spring-beans-5.3.16.jar）,如存在则说明业务系统使用了spring框架进行开发。

（3）如果spring-beans-*.jar 文件不存在，则在解压缩目录下搜索CachedIntrospectionResuLts.class 文件是否存在，如存在则说明业务系统使用了Spring框架开发。

如果业务系统项目以jar包形式直接独立运行，按照如下步骤进行判断。

（1）解压jar包：将jar文件的后缀修改成.zip,解压zip文件。

（2）在解压缩目录下搜索是否存在spring-beans-*.jar 格式的jar文件（例如spring-beans-5.3.16.jar）,如存在则说明业务系统使用了spring框架进行开发。

（3）如果spring-beans-*.jar 文件不存在，则在解压缩目录下搜索CachedIntrospectionResuLts.class 文件是否存在，如存在则说明业务系统使用了spring框架进行开发。

5.安全建议及解决方案

Spring官方已于2022年3月31日发布新版本，修复了此漏洞，请受影响的用户及时更新至最新版本：https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

安天全线产品从流量检测、终端防御、WEB应用防护、蜜罐捕获等不同角度，分别提供了针对该漏洞的解决方案。

5.1 流量检测

安天探海产品已可针对Spring Cloud、Spring Core远程命令执行漏洞利用事件进行检出。已包含相关检测规则的网络威胁行为规则库版本为：Antiy_AVLX_2022033012_bcd8aa4b407d03fdbfa5a11499a0eee5（请确认系统版本为:6.6.1.2 sp1 及以上，更老的版本请先升级到最新版本）

若用户已加入安天动态均衡防护计划，设备将在一天内自动收到更新包并进行检测。请关注下表中规则的检出信息，检出时将自动留存相关证据pcap供下载分析。

表5-1 Spring流量检测规则信息

漏洞编号	告警名称	事件描述
CVE-2022-22965	ExploitWeb:CodeExecute/Spring.700050808!c2s ExploitWeb:CodeExecute/Spring.700050809!c2s ExploitWeb:CodeExecute/Spring.700050810!c2s	疑似Spring-Beans远程代码执行漏洞
CVE-2022-22965	ExploitWeb:CodeExecute/SpringCore.2312100121@upload-file!c2s	利用-漏洞-发现通过SpringCore核心组件(CVE-2022-22965)-尝试文件注入
CVE-2022-22965	Suspicious:Datagram/SpringCore.2312100120@rce-req!c2s	异常-提交-疑似通过SpringCore核心组件(CVE-2022-22965)-提交Payload
CVE-2022-22965	ExploitWeb:CodeExecute/SpringCore.2312100119@upload-file!c2s	利用-漏洞-发现通过SpringCore核心组件(CVE-2022-22965)-尝试文件注入
CVE-2022-22965	ExploitWeb:CodeExecute/SpringCore.2312100118@rce-req!c2s	利用-漏洞-发现通过SpringCore核心组件(CVE-2022-22965)-任意代码执行
CVE-2022-22963	ExploitWeb:CodeExecute/Spring.2312100116@spel-injection!c2s	利用-漏洞-发现通过Spring组件漏洞(CVE-2022-22963)-进行SPEL表达式注入
CVE-2022-22963	ExploitWeb:CodeExecute/Spring.2312100117@spel-injection!s2c	利用-漏洞-发现通过Spring组件漏洞(CVE-2022-22963)-组件已受到影响
CVE-2022-22947	ExploitWeb:CodeInjection/Spring.2312500019@rce-req!c2s	Spring Cloud Gateway spel注入远程代码执行 CVE-2022-2294

若用户未加入此计划，建议立即联系安天售后服务热线，以获取规则更新包，或等待下一次常规更新。售后热线：400-840-9234

若用户已从其他途径获取更多威胁情报，可通过设备的“自定义规则”（针对IP、域名、URL），“流量检测规则”—“自定义规则“（针对SNORT规则）进行威胁情报应用。若网内发现了威胁的相关线索，可通过“目标审计”功能对可疑主机进行全流量获取分析。

图5-1 安天探海检出事件列表

图5-2 安天探海检出结果

图5-3 安天探海检出数据包详情

注：安天探海产品所有型号及版本自身不受此漏洞影响。

5.2 终端防御

安天智甲最新版本已实现对Spring Framework 远程命令执行漏洞检测，并且针对Windows终端和Linux终端均已具有检测能力。用户安装智甲客户端程序后，可使用“漏洞修复”功能检测终端系统环境是否存在该漏洞，如果终端存在该漏洞，用户可直接通过程序查看相关信息，如下图：

图5-4 Windows客户端检测界面

图5-5 Linux客户端检测界面

5.3 WEB应用防护

安天下一代WAF已实现利用Spring Framework远程命令执行漏洞进行攻击的有效防护。

将安天下一代WAF升级至最新版本特征库（Sigdb-V2-1000-45）即包含针对该漏洞的特定防护规则。

具体过程为：

（1）创建一条攻击特征检测策略”Spring RCE”，确保”已知漏洞防护”类型的防护状态为开启。

（2）保存后在站点设置的”安全防护设置”中引用该预定义特征检测策略。

（3）当检测到服务器遭受该远程漏洞攻击时，攻击日志中可以看到触发该预定义特征的详情。

5.4 蜜罐捕获

安天捕风蜜罐系统是诱骗黑客攻击的威胁感知产品，适用于内网、外网、隔离网等场景捕获威胁，生成威胁事件、攻击链等溯源信息，发现外部攻击源和内部失陷主机，尤其适用于护网场景，协助防守方快速得分。通过诱饵部署、仿真与部署环境相似的蜜罐资产来使攻击者“真假难辨”，拖延攻击者，系统提供包括网络设备仿真、WEB仿真、数据库仿真、操作系统仿真、系统服务仿真、应用服务仿真等持续丰富的仿真能力；具备网络、系统、日志等数据全面采集，具备网络检测、文件检测，攻击阶段行为检测，聚合攻击链和原始攻击包。

根据漏洞报告，捕风蜜罐已经具有相关漏洞触发所需的仿真服务环境，并第一时间集成了该漏洞检测规则，并在公网部署了漏洞环境，实时监控最新漏洞利用情况。

图5-6 捕风蜜罐检测漏洞入侵事件

如果客户的设备版本是v3.3.6.0 及以上，可以通过部署 Scada LTS 仿真资产来发现威胁。

需提醒客户重点检出特征ID：130000031

附录一：参考资料

[1] https://www.cnvd.org.cn/webinfo/show/7541 [2] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement [3] https://github.com/spring-projects/spring-framework/commit/7f7fb58dd0dae86d22268a4b59ac7c72a6c22529 [4] https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18