• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

专家警告:春云RCE漏洞可能是下一个Log4Shell


Recommended Posts

注:本文是CVE-2022-22963的研究报告,已经确认并修复了该漏洞。虽然Sysdig的研究人员错误地将Spring Cloud称为“Spring4Shell”,但需要指出的是,对于如何称之为“Spring4Shell”存在一些困惑,因为另一家安全公司称之为Spring Core中另一个未经证实的漏洞。所以为了避免混淆,本文用Spring4Shell来指代Spring Cloud的漏洞。

Spring Cloud函数存在令人担忧的安全漏洞,可能导致远程代码执行漏洞(RCE)和整个互联网连接主机威胁。有研究人员指出,由于该漏洞容易被利用,且基于Java,因此难免让人联想到去年12月发现的Log4Shell漏洞。

Sysdig的安全研究员Stefano Chierici在与Threatpost分享的材料中指出,Spring4Shell是一系列基于Java的漏洞之一。由于其开发门槛低,我们可以看到攻击者利用其技术进行大量的网络攻击。一旦发现目标,网络威胁参与者可能会通过安装加密器、分布式拒绝服务攻击(DDoS)或远程访问工具包进行攻击。

根据VMware周二的公告,这个错误(CVE-2022-22963)影响了版本3.1.6和3.2.2以及其他过时和不受支持的版本。用户只能在更新到版本3.1.7和3.2.3时安装补丁。

为什么CVSS评分如此低?

虽然它在CVSS(通用漏洞评分系统)等级上显示为中等严重性,得分为5.4,但研究人员警告不要低估此漏洞的影响。VMware正在使用CVSSSv3基本指标' CVSS 33603.0/av :n/AC 3360 l/pr 3360n/ui 3360 r/s : u/c :n/I 3360 l/a : l '进行测试评分,但它对该漏洞的机密性、完整性和可用性有影响。

Sysdig的研究人员Nick Lang和Jason Avery告诉Threatpost。“这个漏洞允许攻击者从Spring Cloud内部打开他的保护系统,这可能是这个漏洞的关键。这具有明显的影响,并且不需要用户交互,因此在CVE(常见漏洞披露)中被给予关键评级。他们补充说:在他们的测试中,他们验证了利用CVE-2022-22963漏洞在没有用户交互的情况下获得未经授权访问的可能性。

与此同时,Tenable员工研究工程师萨特南纳兰(Satnam Narang)也认为,CVSS分数可能无法反映该漏洞的真实影响。他通过电子邮件表示:由于该漏洞被视为远程代码执行漏洞,可被未经认证的攻击者利用,CVSSv3评分可能无法反映该漏洞的实际影响。

Sophos的首席研究科学家Paul Ducklin指出,它令人震惊地允许了“瞬间RCE”。他告诉Threatpost,他认为他推荐的原因非常简单,不需要分数来衡量。因为CVE-2022-22693的补丁已经引起了很多人的兴趣,概念验证代码也很容易获得,那么容易就能领先,为什么还要处于落后的位置呢?

可能导致大规模的严重后果

Spring Cloud是一个分布式服务框架:也就是说,它是一个现成组件的集合,这些组件对于在企业中构建分布式应用程序非常有用。它被各种公司广泛使用,包括各种应用程序提供商,如Kubernetes和网飞。所以根据Sysdig的说法,Spring4Shell的发展轨迹堪忧。Chierici认为:春天.被数百万使用Spring Framework的开发人员用来创建高性能、易于测试的代码。Spring云函数框架允许开发人员使用Spring函数编写与云无关的函数。这些功能可以是独立的类别,因此可以轻松部署在任何一个贺云平台上,构建一个无服务器的框架。他补充说:由于Spring Cloud Function可以用于AWS lambda或Google Cloud Functions等云无服务器功能,这些功能也可能会受到影响.领先于您的云客户中的攻击者。

CVE-2022-22963的影响正在逐步扩大

根据Sysdig的说法,这个漏洞可以通过HTTP被利用:就像Log4Shell一样,只需要攻击者向Java应用的HTTP服务发送一个恶意字符串,就可以完成攻击意图。Chierici解释说:通过路由功能,用户可以提供专门制作的Spring Expression Language(SpEL)作为表达式来访问本地资源和执行主机中的命令。CVE-2022-22963的问题是,它允许在HTTP请求头中使用spring . cloud . function . routing-expression传递的参数值被处理为SPEL表达式。由于这个原因,不幸的是,通过使用简单的curl命令来完成漏洞是非常容易的。"

。curl命令如下:
curl -i -s -k -X $’POST’ -H $’Host: 192.168.1.2:8080′ -H $’spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec(\”touch /tmp/test”)’ –data-binary $’exploit_poc’ $’http://192.168.1.2:8080/functionRouter’

Sysdig在其GitHub页面上发布了一个PoC漏洞,如前所述,其他漏洞正在网络中疯狂流传。Ducklin指出:虽然到目前为止,我们看到的PoC(验证性测试)都只是弹出了一个计算器应用程序,但这足以证明这一点,即服务器上已经安装的任何命令都可以轻松启动。因此他将该漏洞称为“Spring Expression Resource Access漏洞”或“SPEL漏洞”。他补充说:“这包括远程触发等Web下载程序就像curl(利用URL语法在命令行下工作的文件传输工具),启动命令程序就像bash(Bourne shell的后继兼容版本与开放源代码版本),或者按顺序同时进行这两个程序以安静快速地植入恶意软件。”

安装补丁

据Sysdig称,安装应用补丁后,任何使用Spring Cloud构建的应用程序的人都应该仔细检查他们的安装系统,以确保不存在相应的漏洞。Chierici提醒道:即使用户可能已经升级了数据库或对受漏洞影响的系统应用了其他缓解措施,但用户仍然需要检测环境中是否存在任何利用尝试和破坏的活动。他指出,这种检测可以通过图像扫描仪或运行时检测引擎来进行,以发现已安装的(无扩展名的)系统文件或置标语言中的恶意行为。根据Sysdig的文章所言,对此类漏洞的最佳防御是尽快修补。在当今世界中,清楚地了解用户环境中所使用的软件包是必须的。

Link to comment
Share on other sites