Spring Cloud Function の SpEL インジェクション脆弱性 (CVE-2022-22963) の分析

Akamai の強力なセキュリティソリューションの詳細については、こちらをご覧ください。

1. 概要

2022年3月24日、 Pivotalは、システム攻撃につながる可能性のある、 Spring Cloud Functionの重大なサーバー側コードインジェクション脆弱性（ Spring Expression Language Injection）を修正しました。 Springは人気の高いオープンソースのJavaフレームワークであり、この脆弱性と関連する別のリモートコード実行 ( RCE ) 脆弱性 ( Spring Core 、別名「Spring4Shell」 ) は、Akamai Adaptive Security Engine (ASE) Kona Site Defender (KSD)ルールセットによって効果的に保護できます。

この記事では、 Spring Cloud の脆弱性の分析に焦点を当てます。 Spring Core の脆弱性の詳細については、ここを参照してください。

Spring Cloud Functionテクノロジーは、ビジネスロジックを特定のランタイムから分離します。強力な式言語であるSpring Expression Language ( SpEL ) は、さまざまなSpring製品で広く使用されており、実行時にオブジェクトグラフのクエリと操作をサポートしています。これまで、リモートコード実行に関する多くの共通脆弱性識別子 ( CVE )は、信頼できないユーザー入力からのコード式をアプリケーションが安全でない方法で評価するSpELインジェクションを中心に展開されてきました( 図1を参照)。

図1 : GitHub上のSpring Cloud Functionコードパス

数日後の3月26日、 GitHubユーザー「cckuailong」が、脆弱性の悪用に成功したことを示す概念実証エクスプロイトを公開しました（図2 ）。

図2 : 公開された概念実証エクスプロイト

Akamai は1 日も経たないうちに、インターネット全体に関連エクスプロイトが出現したことを確認しました。

図3 : 3 月 27 日から始まったエクスプロイトの試み(出典:顧客向けAkamai Web Security Analytics分析結果)

Log4jと同様に、現在の多くの (ただしすべてではない) 試みは「Ping Back」タイプのプローブであり、攻撃者はそれをうまく悪用できれば単にビーコンを送信するだけです。

私たちは、世界中で何千ものIPアドレスがペイロードを送信しているのを観察してきましたが、そのほとんどはパブリッククラウドでホストされている仮想プライベートネットワークとWebプロキシから発信されています。

2. 脆弱性

パッチをリバースすると、脆弱性により「 spring.cloud.function.routing-expression 」HTTPヘッダーを介してSpEL式を受信でき、アプリケーションのルーティングが容易になることがわかります。

しかし、このコードでは、評価する式をHTTPヘッダー経由で受信する必要があるかどうかはチェックされません。これを修正するために、 SimpleEvaluationContextの一部でもある追加のheaderEvalContextが追加されました。

3. KSD適応型セキュリティエンジンを使用して軽減する

Akamai Adaptive Security Engine ( ASE ) には、コマンドインジェクションを検出するための広範な組み込みルールがあります。これらの攻撃の多くは、オペレーティングシステムレベルのコマンドの実行を目的としているためです。 ASE は、既存のコマンドインジェクションルールを使用してこのゼロデイ攻撃を検出することができました。

さらに、次のKona Site Defenderルールセットは関連する攻撃を軽減できます。

3000041 –サーバー側テンプレートインジェクション
3000156 – CMDインジェクション検出 ( PHP 高リスク関数)

IV.結論

Spring Cloud Function はLog4jほど広く使用されていませんが、脆弱性は簡単に悪用されるため、依然として多くの攻撃者を引き付けることになります。 Akamai は、この脆弱性がデジタル通貨の盗難、 DDoS攻撃、ランサムウェアを狙った多くの攻撃を引き起こし、今後長期間にわたって組織のイントラネットに侵入する効果的な手段になる可能性があると予想しています。ただし、 Akamai のお客様は、Akamai Adaptive Security EngineとKona Site Defenderルールセットによってすでに完全に保護されています。

Akamaiの脅威調査チームは脆弱性を継続的に監視し、新たな展開が見られたらお知らせします。最新の開発状況を知るには、Akamaiをフォローしてください。

Akamai の強力なセキュリティソリューションの詳細については、こちらをご覧ください。

フォローを歓迎します Akamai では、高可用性MySQL/MariaDBリファレンスアーキテクチャと豊富なアプリケーション例について最初に知ることができます。

<<: 実稼働の実践: GlusterFS を使用して Kubernetes ストレージボリュームクラスターを構築する

>>: クラウドに乗って未来へ | ByteDanceのクラウドベースのインフラストラクチャの実践

DAMOアカデミーの新しい自動運転技術は、通常のレーダーをアップグレードし、シミュレーションされた配線ハーネスの量を3倍以上に増加させます。

Spring Cloud Function の SpEL インジェクション脆弱性 (CVE-2022-22963) の分析

1. 概要

2. 脆弱性

3. KSD適応型セキュリティエンジンを使用して軽減する

IV.結論

DAMOアカデミーの新しい自動運転技術は、通常のレーダーをアップグレードし、シミュレーションされた配線ハーネスの量を3倍以上に増加させます。

人工知能により、Web 上の Microsoft Outlook がよりスマートに

Mofang Cloud-Simple 韓国 VPS/gcore 韓国 1Gbps サーバーのレビュー

SEOVIPが短期間でホームページに掲載された理由は、ウェブマスターの知名度に関係していると思います。

キーワードランキングの向上とSEOの習得が鍵です！

白山クラウドテクノロジーはC+ラウンドの資金調達でさらに2億4000万元を獲得し、クラウドバックエンド市場のユニコーン企業となった。

注目に値するコンテンツライティングテクニックをカウントダウン

MaxCompute 分散 Python 機能に基づく大規模データサイエンス分析

利益に関するニュースが次々と流れてくる中、共同購入ウェブサイトの厳しい冬は終わりを迎えるのでしょうか?

トゥニウが米国でIPO申請、粗利益率の低さが収益性への懸念を呼ぶ

推薦する

softshellweb: 50% オフ、サンノゼ VPS、月額 1.25 ドル、KVM/512M メモリ/20g SSD/1T 帯域幅、カスタマイズ可能な ISO

簡単な分析: 新規サイトの早期最適化のための準備作業と重要なポイント

SEO に必須のウェブマスターツール

1000マイルのダムがアリの穴で破壊される。ウェブサイトのセキュリティメンテナンスが緊急に

Taobao の販売業者は Weibo マーケティングをどのように活用していますか?

Hostyun: 低コストの VPS - 12 年間、月額 12 元、米国 cn2 gia、日本、香港、独立した IP スイッチングは 10 元/回のみ、Windows をサポート

SaaS 時代において、YonSuite は成長企業のイノベーションコードをどのように活性化するのでしょうか?

ウェブサイトの SEO 最適化について考えることと実行することのどちらがより重要ですか?

Chrome に推奨される SEO プラグイン

2019年インターネットクイーンレポート、5Gなし！（ダウンロードに添付）

テディベアモバイルはデジタル精密マーケティングの新しいパラダイムを創造し、合資銀行のクレジットカードがインテリジェントなマーケティングを実現できるよう支援します。

piayun: 618 中間 VPS 大割引、米国 (3 つのネットワーク) cn2 gia、香港 pure cn、深セン BGP、20% オフ + 再チャージ 20% 以上

SEMer: クリエイティブライティングの最高峰

コア基盤: JVM とは何かを理解しますか? Java仮想マシンの本質を理解する

彼女がアオ・ビンに尋ねました: 分散トランザクションとは何ですか?