Elastic 对 Spring4Shell 漏洞 (CVE-2022-22965) 的响应

先打个广告：

明天4月28日14：30， Meetup Online第二期《Elastic 应对 xx4shell 危机频发的解决之道》

本次线上社区活动，主题以安全分析，威胁捕获为主，分享一下如何使用Elastic的解决方案应对当前的xx4shell漏洞（srping4shell, log4shell），从漏洞的PoC，到开发，生产，网络安全等各个环境的分析和捕获。好玩的干货不是每次都有，感兴趣的同学，明天记得拨冗参加哦！

本次分享将通过B站、Youtube全程转播，欢迎预约！！

预约地址：https://cloud.tencent.com/developer/salon/live-1783

2022 年 3 月 29 日，VMware 向公众披露了Spring 框架中的一个漏洞。此漏洞有几个影响影响的先决条件：

• Spring 框架版本 5.3.0-5.3.17、5.2.0-5.2.19，以及 5.2.x 之前的软件版本
• 使用 Spring MVX 或 WebFlux 包运行的应用程序
• Apache Tomcat 作为该应用程序的容器
• 打包为 Web 应用程序资源 (WAR) 的应用程序

具体来说，此漏洞针对 ClassLoader() 类，尽管其他类中可能存在类似的未发现漏洞。可以将 URI 参数作为标准 Web 请求的一部分传递给 Tomcat，以利用此漏洞。

威胁是什么？

CVE-2022-22965 是一个漏洞，它可能会影响已安装 Spring Framework 的系统，并暴露在 JDK 9 或更高版本上运行的 Spring MVC 或 WebFlux 应用程序。与此漏洞相关的利用需要 Apache Tomcat，并且应用程序部署为 Web 应用程序资源 (WAR) — 但企业应考虑其他利用方法也是可能的。

有什么影响？

如果成功利用，Spring4Shell 漏洞可能允许攻击者在 Web 服务器的上下文中执行任意代码（包括恶意软件）。由于需要特定的软件、版本和配置作为先决条件，因此企业应该期望比Log4Shell等漏洞的影响更小。虽然 Spring4Shell 有更具体的先决条件来造成影响，但 Elastic Security 仍然建议遵循有关修补和升级的官方指南。

利用 Elastic 进行漏洞检测

面向社区的存储库中已经存在一般识别成功利用方面的预构建保护：

• Webshel​​l 检测：常见 Web 进程的脚本进程子进程
• 通过 Web 服务器的潜在外壳

此外，Elastic为常见和不常见的后期利用技术提供了数十条规则，这些规则可能会出现在入侵尝试的后期阶段。

神器

Elastic 面向社区的检测规则存储库包含两个特定于 Web 服务器后利用的规则。由于漏洞的不可预测性，Elastic 提供的任何后利用规则都可能有助于检测或理解与 Spring4Shell 相关的入侵尝试。对于寻求更好地了解此漏洞的企业，请考虑Elastic 社区成员 Stijn Holzauer 的这篇出色的概述。

防御性建议

企业应遵循 Spring 在其官方披露公告中提供的指导，并寻求对 Spring 框架进行补丁或升级。此外，对于那些可能无法在 Spring 中解决该漏洞的人，我们还发布了一个补丁来关闭 Apache Tomcat（最低版本 10.0.20、9.0.62、8.5.78）中的此漏洞。此外，可以配置 disallowedFields 以消除与数据绑定滥用相关的漏洞。