漏洞简介
●Spring最新RCE漏洞使了SpringMVC框架的应用系统且jdk版本=9。
●该漏洞利难度低,应范围较,目前受影响的SpringFramework的版本有:
SpringFramework5.3.X5.3.18
SpringFramework5.2.X5.2.20
注:其他SpringFramework旧版本同样会受到影响。
SpringFramework官方提供SpringFramework5.3.18和SpringFramework5.2.20两个安全版本(截止至3月31日)SpringMVC框架的参数绑定功能提供了将请求中的参数绑定控制器方法中参数对象的成员变量,攻击者通过构造恶意请求获取AccessLogValve对象并注恶意字段值触发pipeline机制可写任意路径下的文件。有专业机构监测发现该漏洞已被攻击者利用,漏洞细节已经在小范围公开。鉴于SpringMVC框架应用广泛,请各单位组织排查,有关系统是否使用了受影响的SpringMVC框架。
漏洞响应
1
设置防护手段
企业可采用NDR类(默安刃甲网络攻击干扰压制系统)、WAF类、RASP类产品,对该漏洞利用进行防护阻断,为后续排查资产与开发项目争取时间。
在WAF等络防护设备上,根据实际部署业务的流量情况,实现对{"class.*","Class.*","*.class.*","*.Class.*"}等字符串的规则过滤,并在部署过滤规则后,对业务运情况进测试,避免产额外影响。
2
排查受影响资产
企业可采用CWPP类(默安剑幕主机安全检测系统)、资产风险检查类(默安巡哨智能资产风险监控系统)安全产品,一键梳理受影响资产,确定此漏洞影响面。
用户也可手动进行梳理,手动排查方法如下:
1
JDK版本号排查
在业务系统的运行服务器上,执行“java-version”命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响。
2
Spring框架使用情况排查
01#如果业务系统项目以war包形式部署,按照如下步骤进行判断:
●解压war包:将war文件的后缀修改成.zip,解压zip文件。
●在解压缩目录下搜索是否存在Spring-beans-*.jar格式的jar文件(例如Spring-beans-5.3.16.jar),如存在则说明业务系统使用了Spring框架进行开发。
●如果Spring-beans-*.jar文件不存在,则在解压缩目录下搜索CachedIntrospectionResuLts.class文件是否存在,如存在则说明业务系统使用了Spring框架开发。
02#如果业务系统项目以jar包形式直接独立运行,按照如下步骤进行判断:
●解压jar包:将jar文件的后缀修改成.zip,解压zip文件。
●在解压缩目录下搜索是否存在Spring-beans-*.jar格式的jar文件(例如Spring-beans-5.3.16.jar),如存在则说明业务系统使用了Spring框架进行开发。
●如果Spring-beans-*.jar文件不存在,则在解压缩目录下搜索CachedIntrospectionResuLts.class文件是否存在,如存在则说明业务系统使用了Spring框架进行开发。
3
综合判断
在完成以上两个步骤排查后,同时满足以下两个条件可确定受此漏洞影响:
●JDK版本号在9及以上的;
●使用了Spring框架或衍生框架。
3
排查受影响开发项目
企业可采用SCA类(默安雳鉴SCA软件成分分析系统)、IAST类(默安雳鉴IAST交互式应用安全检测系统)产品,在开发过程和测试过程中,发现受Spring-beans-*.jar影响的开发项目和代码。
4
推进修复
目前,Spring官方已发布修复补丁,请客户及时进行补丁升级,按官方补丁修复漏洞:
转载请注明:http://www.0431gb208.com/sjszlff/1384.html
