Javaフレームワーク「Spring Core」に新たなゼロデイ脆弱性「Spring4Shell」が公開され、アプリケーション上で未認証のリモートコード実行が可能になることが明らかになりました。
https://tanzu.vmware.com/security/cve-2022-22963
Spring Cloud Function のバージョン 3.1.6, 3.2.2 およびそれ以前の未サポートバージョンにおいて、ルーティング機能を使用する際に、ユーザーが特別に細工した SpEL をルーティング式として提供することで、リモートでのコード実行やローカルリソースへのアクセスが可能となる可能性があります。
Springは、ソフトウェア開発者がエンタープライズレベルの機能を持つJavaアプリケーションを迅速かつ容易に開発できるようにする、非常に人気のあるアプリケーションフレームワークです。
これらのアプリケーションは、必要な依存関係をすべて備えたスタンドアロンパッケージとして、Apache Tomcatなどのサーバーに配備することができます。
CVE-2022-22963として追跡されている新しいSpring Cloud Functionの脆弱性が公開され、間もな実証コードでの悪用が可能になりました。
その後、より重大なSpring Coreのリモートコード実行の脆弱性に関する情報が、QQチャットサービスや中国のサイバーセキュリティサイトに出回りました。
その後、多数のサイバーセキュリティ研究者やセキュリティ企業が、この脆弱性が有効であり、重大な懸念があることを確認しています。
Spring4Shellと名付けられたこの新しいSpring RCEの脆弱性は、渡された引数の安全でないデシリアライゼーションが原因です。
当初はJava 9以降で動作するすべてのSpringアプリに影響すると考えられていましたが、その後、Springアプリが脆弱であるための特定の要件が存在することが判明しました。
CERT/CCの脆弱性アナリストであるWill Dormann氏は、アプリが「Spring Beans」を使用し、「Spring Parameter Binding」を使用し、「POJOなどの非基本パラメータタイプを使用するようSpring Parameter Bindingが構成されていること」も必要だと述べています
Comments