又有一個Java遠端程式執行漏洞出現了,這個漏洞出現在被廣泛運用的Spring框架中。該漏洞被追蹤為CVE-2022-22963,是Spring Cloud中的一個Spring表達式語言(Spring Expression language,SpEL)漏洞。當部署Spring到Apache Tomcat時,可以存取WebAppClassLoader的功能,這允許攻擊者調用getter和setter指令,最終將一個惡意的JSP文件寫入硬碟。
JDK9+上的Spring Core是漏洞所在,Praetorian團隊已經發布了一個緩解措施,替代無法應用Spring發佈的修復方案。 Spring團隊還指出,該漏洞與先前停止更新SerializationUtils的決定無關。
Jeff Costlow警告說:「我們已經有了關於這個漏洞的掃描報告,這是一個可以通過HTTP或HTTPS存取遠端程式的零時差漏洞,利用完備的POC只是時間問題。」這個遠端程式執行漏洞具有巨大的潛在影響,這一切都取決於不肖人士能以多快的速度對漏洞進行偵察,並加入他們的攻擊手冊中。全球有30億台設備使用Java,因此這完全有可能成為被駭客利用的戰術,且是一種沈默但致命的戰術。
雖然Spring在修補方面的動作非常快,但這仍然是用戶應承擔的責任。公司的資安長(CISO)需要對漏洞進行定期評估,因為沒有供應商會替他們定期檢查。此外,也會有許多組織在不知情的情況下購買了使用Spring框架的應用程式,而供應商將要迅速地伸出援手,通知他們需要修補漏洞。
Spring是一個很受歡迎的框架,但這個漏洞提醒我們,必須了解應用程式間的依賴性,以及如何使用這些依賴關係。雖然開放原始碼是軟體世界的基石,但這個漏洞又一次照亮了在層層錯雜的程式相依架構下,資安層面中一個無所不在的問題。
相關連結:
Richard Speed(2022). Patch now: RCE Spring4shell hits Java Spring framework. TheRegister.
檢自:
https://www.theregister.com/2022/03/31/spring_vuln/ (Apr. 11, 2022)
