CISA警告积极利用关键Spring4Shell漏洞

美国网络安全和基础设施安全局（CISA）周一根据“主动攻击的证据”将最近披露的影响Spring框架的远程代码执行（RCE）漏洞添加到其已知被攻击漏洞目录中

该严重性缺陷被指定为标识符CVE-2022-22965（CVSS分数：9.8）并被称为“Spring4Shell”，影响了Spring型号–；视图–；运行在Java开发工具包9及更高版本上的controller（MVC）和Spring WebFlux应用程序。

Praetorian研究人员Anthony Weems和Dallas Kaman上周指出：“利用该漏洞需要一个启用了DataBinder的端点（例如，自动解码来自请求体的数据的POST请求），并且严重依赖于应用程序的servlet容器”。

尽管目前尚不清楚在野外滥用的确切细节，但信息安全公司SecurityScorecard表示，“已观察到来自俄罗斯和中国IP空间等常见嫌疑人对该漏洞的积极扫描。”

Akamai和帕洛阿尔托网络的第四十二单元发现了类似的扫描活动，试图部署一个用于后门访问的Web外壳，并在服务器上执行任意命令，目的是传递其他恶意软件或在目标网络中传播。

根据Sonatype发布的统计数据，自3月31日该问题曝光以来，Spring框架的潜在易受攻击版本占Maven Central repository总下载量的81%。

Cisco正在积极调查其产品线，以确定哪些产品可能受到该漏洞的影响，并确认其三款产品受到影响-

• 思科交叉工作优化引擎
• Cisco Crosswork零接触供应（ZTP），以及
• 思科边缘智能

VMware方面也认为其三款产品存在漏洞，在适用的情况下提供了补丁和解决方案-

• VMware Tanzu虚拟机应用服务
• VMware Tanzu运营经理，以及
• VMware Tanzu Kubernetes网格集成版（TKGI）

VMware在公告中表示：“通过网络访问受影响VMware产品的恶意参与者可能会利用此问题获得对目标系统的完全控制”。

CISA还将苹果上周修补的两个零日缺陷（CVE-2022-22674和CVE-2022-22675）和D-Link路由器（CVE-2021-45382）中的一个关键缺陷添加到了目录中，这两个缺陷已被基于Beastmode Mirai的DDoS活动积极化。

根据CISA在2021年11月发布的《联合行动指令》（BOD），联邦文官行政部门（FCEB）机构需要在2022年4月25日之前对所识别的漏洞进行补救。