先打个广告:
明天4月28日14:30, Meetup Online第二期《Elastic 应对 xx4shell 危机频发的解决之道》
本次线上社区活动,主题以安全分析,威胁捕获为主,分享一下如何使用Elastic的解决方案应对当前的xx4shell漏洞(srping4shell, log4shell),从漏洞的PoC,到开发,生产,网络安全等各个环境的分析和捕获。好玩的干货不是每次都有,感兴趣的同学,明天记得拨冗参加哦!
本次分享将通过B站、Youtube全程转播,欢迎预约!!
预约地址:https://cloud.tencent.com/developer/salon/live-1783
2022 年 3 月 29 日,VMware 向公众披露了Spring 框架中的一个漏洞。此漏洞有几个影响影响的先决条件:
- Spring 框架版本 5.3.0-5.3.17、5.2.0-5.2.19,以及 5.2.x 之前的软件版本
- 使用 Spring MVX 或 WebFlux 包运行的应用程序
- Apache Tomcat 作为该应用程序的容器
- 打包为 Web 应用程序资源 (WAR) 的应用程序
具体来说,此漏洞针对 ClassLoader() 类,尽管其他类中可能存在类似的未发现漏洞。可以将 URI 参数作为标准 Web 请求的一部分传递给 Tomcat,以利用此漏洞。
威胁是什么?
CVE-2022-22965 是一个漏洞,它可能会影响已安装 Spring Framework 的系统,并暴露在 JDK 9 或更高版本上运行的 Spring MVC 或 WebFlux 应用程序。与此漏洞相关的利用需要 Apache Tomcat,并且应用程序部署为 Web 应用程序资源 (WAR) — 但企业应考虑其他利用方法也是可能的。
有什么影响?
如果成功利用,Spring4Shell 漏洞可能允许攻击者在 Web 服务器的上下文中执行任意代码(包括恶意软件)。由于需要特定的软件、版本和配置作为先决条件,因此企业应该期望比Log4Shell等漏洞的影响更小。虽然 Spring4Shell 有更具体的先决条件来造成影响,但 Elastic Security 仍然建议遵循有关修补和升级的官方指南。
利用 Elastic 进行漏洞检测
面向社区的存储库中已经存在一般识别成功利用方面的预构建保护:
- Webshell 检测:常见 Web 进程的脚本进程子进程
- 通过 Web 服务器的潜在外壳
此外,Elastic为常见和不常见的后期利用技术提供了数十条规则,这些规则可能会出现在入侵尝试的后期阶段。
神器
Elastic 面向社区的检测规则存储库包含两个特定于 Web 服务器后利用的规则。由于漏洞的不可预测性,Elastic 提供的任何后利用规则都可能有助于检测或理解与 Spring4Shell 相关的入侵尝试。对于寻求更好地了解此漏洞的企业,请考虑Elastic 社区成员 Stijn Holzauer 的这篇出色的概述。
防御性建议
企业应遵循 Spring 在其官方披露公告中提供的指导,并寻求对 Spring 框架进行补丁或升级。此外,对于那些可能无法在 Spring 中解决该漏洞的人,我们还发布了一个补丁来关闭 Apache Tomcat(最低版本 10.0.20、9.0.62、8.5.78)中的此漏洞。此外,可以配置 disallowedFields 以消除与数据绑定滥用相关的漏洞。
