微软在其云服务中检测到Spring4Shell攻击

4月4日，微软发布公告称， 安全团队检测到正利用近期曝出的Spring4Shell（又名 SpringShell）远程代码执行（RCE）漏洞进行的攻击，目标是自身的云服务产品。

Spring4Shell漏洞（跟踪为 CVE-2022-22965）源自 Spring 框架，该框架被称为“使用最广泛的 Java 轻量级开源框架”。微软365 Defender 威胁情报团队表示，自该漏洞出现以来，就监测到了利用云服务中Spring Cloud 和 Spring Core 漏洞进行的持续性攻击。

根据4日发布的报告称，攻击者可以通过向运行 Spring Core 框架的服务器发送特制的查询来利用Spring Core 安全漏洞，从而在 Tomcat 根目录中创建 Web shell ，并以此在受感染的服务器上执行命令。

微软认定，受影响的系统具有以下特征：

1.运行 JDK 9.0 或更高版本 2.Spring Framework 版本 5.3.0 至 5.3.17、5.2.0 至 5.2.19 及更早版本 3.Apache Tomcat 作为 Servlet 容器 4.打包为传统的 Java Web 存档 (WAR) 并部署在独立的 Tomcat 实例中；使用嵌入式 Servlet 容器或响应式 Web 服务器的典型 Spring Boot 部署不受影响 5.Tomcat 有spring-webmvc或spring-webflux依赖项

此外，微软也表示，任何使用 JDK 9.0 或更高版本并使用 Spring Framework 或衍生框架的系统都存在风险。

4月5日， Check Point 发布报告评估，Spring4Shell漏洞利用尝试已达到所有受影响设备或组织的16%，并根据内部的监测数据显示，仅在上周末，Check Point 研究人员就检测到了大约 37000 次 Spring4Shell 漏洞利用攻击。

参考来源

https://www.bleepingcomputer.com/news/security/microsoft-detects-spring4shell-attacks-across-its-cloud-services/