VNG Cloud Logo

[CVE-2022-22965] Spring framework RCE via Data Binding on JDK 9+

#Spring4Shell

Spring Core là thành phần cốt lõi của Spring Framework. Đây chính là nền tảng để xây dựng nên các thành phần khác trong hệ sinh thái của Spring Framework như Spring MVC, Spring Boot, Spring WebFlux. Mã khai thác có thể thực thi được với các điều kiện sau:

  • JDK 9 hoặc cao hơn
     
  • Apache Tomcat chạy container servlet
     
  • Đóng gói WAR
     
  • Gói phụ thuộc: spring-webmvc hoặc spring-webflux


Nếu ứng dụng được triển khai dưới dạng Spring Boot executable jar file, như mặc định, sẽ không bị ảnh hưởng bởi lỗi bảo mật này.  

Phiên bản ảnh hưởng
Spring Framework  < 5.2.20 và 5.3.18 

ackageAffected versionsPatched versions
org.springframework.boot:spring-boot-starter-web (Maven)

< 2.5.12

>= 2.6.0, < 2.6.6

2.5.12

2.6.6

org.springframework.boot:spring-boot-starter-webflux (Maven)

< 2.5.12

>= 2.6.0, < 2.6.6

2.5.12

2.6.6

org.springframework:spring-beans (Maven)

< 5.2.20

>= 5.3.0, < 5.3.18

5.2.20

5.3.18

org.springframework:spring-core (Maven)

< 5.2.20

>= 5.3.0, < 5.3.18

5.2.20

5.3.18

org.springframework:spring-webflux (Maven)

< 5.2.20

>= 5.3.0, < 5.3.18

5.2.20

5.3.18

org.springframework:spring-webmvc (Maven)

< 5.2.20

>= 5.3.0, < 5.3.18

5.2.20

5.3.18

Giảm thiểu rủi ro:
Cập nhật đến phiên bản:

Spring Framework 5.3.18 5.2.20
Spring Boot 2.6.6 2.5.12
Workarounds:

Nếu ứng dụng không thể cập nhật bản vá mới nhất, lập trình viên có thể làm theo hướng dẫn workaround tại https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#suggested-workarounds

PoC
Một số mã khai thác đã được tìm thấy trên internet,  BlueTeam đang tiến hành kiểm tra log phát hiện Attacker đang  dò quét cho lỗ hổng này trên tất cả hạ tầng của công ty

Tham khảo:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://tanzu.vmware.com/security/cve-2022-22965