Spring RCE遠程代碼執行漏洞

漏洞描述

近日，四葉草安全團隊監測發現 Spring框架曝出0day漏洞 ， 該漏洞可能已被遠程攻擊者利用，漏洞威脅等級： 高危、非常緊急。

Spring作為目前全球最受歡迎的Java輕量級開源框架，Spring開發人員專注于業務邏輯，簡化Java企業級應用的開發周期。

在Spring框架的JDK9版本（及以上版本）中，由于未對傳輸的數據進行有效的驗證，攻擊者可利用該漏洞在未授權的情況下，構造惡意數據進行遠程代碼執行攻擊，最終獲取服務器最高權限。

漏洞詳情

漏洞名稱

Spring RCE遠程代碼執行漏洞

發布時間

2022年3月30日

組件名稱

Spring 框架

影響范圍

使用了使用了Spring框架或衍生框架，JDK版本號在9及以上的，若JDK版本號≤8，則不受影響；執行“java -version”命令可查看JDK版本.

漏洞類型

遠程代碼執行漏洞

利用條件

無需用戶認證、遠程觸發

官方修復建議

目前，Spring官方無官方補丁。

漏洞檢測方案

“四葉草資產安全評估系統”

四葉草安全Spring相關漏洞檢測產品，能夠快速檢測出受該事件影響的資產，可發現Spring相關網絡資產漏洞，有效的幫助用戶識別網絡內的資產安全風險。

臨時修復方案

建議采用以下臨時修復方案防護，并及時關注官方補丁發布情況，按官方補丁修復漏洞。

方案一

應用中全局搜索@InitBinder注解，看看方法體內是否調用dataBinder.setDisallowedFields方法，如果發現此代碼片段的引入，則在原來的黑名單中，添加 {"class.*","Class. *","*. class.*", "*.Class.*"} 。 （注：如果此代碼片段使用較多，需要每個地方都追加）

在應用系統的項目包下新建以下全局類，并保證這個類被Spring加載到(推薦在Controller所在的包中添加)完成類添加后，需對項目進行重新編譯打包和功能驗證測試。

方案二

在WAF等網絡防護設備上，根據實際部署業務的流量情況，實現對 “class.*”“Class.*”“*.class.*”“*.Class.*” 等字符串的規則過濾，并在部署過濾規則后，對業務運行情況進行測試，避免產生影響。

四葉草安全

西安四葉草信息技術有限公司(簡稱:四葉草安全)是一家領先的實戰創新型網絡安全企業，專業的網絡安全綜合解決方案提供商。公司秉承“以攻促防”的安全理念，站在用戶角度以黑客視角幫助用戶建立智能主動的安全防御體系以及攻防實戰型人才培養，聚焦發展自主創新的核心安全能力，堅定不移的在黑客攻防對抗方向解決“卡脖子”類核心技術的突破，營造一個更安全、更美好的互聯網世界。

成立于2012年的四葉草安全，立足西安、服務全國，保障過多項國家級重大活動，累計為5100多個用戶項目提供技術服務和安全保障，同時旗下的感洞平臺為1400多萬互聯網企業的資產安全風險持續保駕護航。