未修补的Java Spring框架0天RCE漏洞威胁企业Web应用程序安全

一名中国安全研究人员在删除他们的帐户之前短暂泄露了GitHub上的概念验证（PoC）漏洞，不久之后，Spring framework中就发现了一个零天远程代码执行（RCE）漏洞。

据网络安全公司Praetorian称，未修补的漏洞会影响Spring Core on Java Development Kit（JDK）9及更高版本，并绕过另一个被追踪为CVE-2010-1622的漏洞，使未经验证的攻击者能够在目标系统上执行任意代码。

Spring是一个用于构建Java应用程序的软件框架，包括Java EE（企业版）平台上的web应用程序。

研究人员Anthony Weems和Dallas Kaman说：“在某些配置中，利用这个问题很简单，因为它只需要攻击者向易受攻击的系统发送精心编制的HTTP请求。”。“然而，利用不同的配置将需要攻击者进行额外的研究，以找到有效的有效载荷。”

该漏洞的其他详细信息，称为“弹壳“和”Spring4Shell“为了防止利用漏洞的企图，在框架的维护人员（VMware的子公司Spring.io）修复之前，它一直被扣留。它还没有被分配一个通用漏洞和暴露（CVE）标识符。

值得注意的是，零日攻击所针对的漏洞与本周应用程序框架中披露的前两个漏洞不同，包括Spring framework expression DoS漏洞（CVE-2022-22950）和Spring Cloud expression资源访问漏洞（CVE-2022-22963）。

在此期间，Praetorian研究人员建议“创建一个ControllerAdvice组件（这是一个跨控制器共享的Spring组件），并在denylist中添加危险模式。”

对Spring Core中新代码执行缺陷的初步分析表明，其影响可能并不严重。Flashpoint在一项独立分析中说：“目前的信息表明，为了利用该漏洞，攻击者必须找到并识别实际使用反序列化util的web应用实例，开发者已经知道这是危险的。”。

Rapid7解释说，尽管PoC漏洞已经公开，但“目前尚不清楚哪些实际应用程序使用了易受攻击的功能。”。“配置和JRE版本也可能是可利用性和广泛利用可能性的重要因素。”

零售和酒店信息共享与分析中心（ISAC）也发布了一份声明，称其已调查并确认了针对RCE漏洞的PoC的“有效性”，并补充称其正在“继续测试以确认PoC的有效性”

CERT/CC漏洞分析师威尔·多尔曼（Will Dorman）在一条推文中说：“Spring4Shell在野外的漏洞攻击似乎与spring.io中的股票‘处理表单提交’示例代码不符。”。“如果示例代码易受攻击，那么我怀疑现实世界中确实存在易受RCE攻击的应用。”