3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。
相关监测发现该漏洞可能已被远程攻击者利用,广东省网络安全应急响应中心连夜发布预警通知,考虑到Spring框架的广泛应用,FreeBuf对漏洞评级为:危险。
2#影响版本
利用该漏洞需要满足两个条件
- Spring Cloud Function >= JDK9
- Spring 框架以及衍生的框架spring-beans-*.jar 文件(或存在CachedIntrospectionResults.class)
3#漏洞细节
CVE编号:暂无
漏洞类型:Spring框架JNDI注入漏洞
漏洞级别:高危
Poc:暂未公开
在野利用:未知
在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。
4#漏洞自检
如果业务系统项目以war包形式部署,按如下步骤判断:
- 解压war 包:将war文件的后级修改成.zip,解压 zip文件。
- 在解压缩目录下搜索是否存在spring-beans-*.jar格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了Spring框架进行开发。
- 如果spring-beans-*.jar文件不存在,则在解压缩目录下搜索CachedIntrospectionResults.class文件是否存在,如存在则说明业务系统使用了Spring 框架进行开发。
- 解压jar 包:将jar文件的后缀修改成.zip,解压zip文件。
- 在解压缩目录下搜索是否存在spring-beans-*.jar 格式的iar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了Spring框架进行开发。
- 如果spring-beans-*.jar文件不存在,则在解压缩目录下搜索CachedIntrospectionResults.class文件是否存在,如存在则说明业务系统使用了Spring框架进行开发。
目前Spring官方并没有发布与此漏洞相关的补丁文件,相关漏洞Poc也暂未被公开。考虑到自3月29日起已在小范围传播,鉴于Spring MVC的广泛应用,各企业仍需警惕远程攻击者,并采用广东省网络安全应急响应中心公布临时方案加强防护。FreeBuf将密切关注Spring官方的补丁发布情况。
临时方案1:WAF临时策略
在WAF等网络防护设备上,根据实际部署业务的流量情况,实现对
“class.*”,“Class.*”,“*.class.*”,“*.Class.*”等字符串的规则过滤,并在部署过滤规则后,对业务允许情况进行测试,避免产生额外影响。
临时方案2:临时缓解措施
在应用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。
import org.springframework.core.annotation.Order; import org.springframework.web.bind.WebDataBinder; import org.springframework.web.bind.annotation.ControllerAdvice; import org.springframework.web.bind.annotation.InitBinder; @ControllerAdvice @Order(10000) public class a{ @InitBinder public void setAllowedFields(WebDataBinder dataBinder) { String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"}; dataBinder.setDisallowedFields(abd); } }
本文部分内容的参考链接:https://mp.weixin.qq.com/s/Oj84L-qXOTPv3kqp3un8NA
发表评论