赶紧打补丁：RCE Spring4shell 攻击 Java Spring 框架！

反正这个周末你没有什么别的计划，是不是？

另一个Java远程代码执行（RCE）漏洞已浮出水面，这回中招的是广受欢迎的Spring框架；有必要说明一下，这个漏洞很严重。

该漏洞名为“Springshell”或“Spring4Shell”，需要端点启用了DataBinder。

安全公司Praetorian解释道：“比如说，Spring被部署到Apache Tomcat后，WebAppClassLoader是可以访问的，这让攻击者得以调用getter方法和setter方法，最终将恶意JSP文件写入到磁盘上。”

Sonatype公司声称：“Spring已经承认了这个漏洞，并发布了版本5.3.18和版本5.2.20来修补这个问题。我们建议所有用户立即升级。”

是不是周末有计划？你可能应该考虑取消，而是计划打上补丁。

Spring今天承认了这个问题，该问题在周二晚上首次上报给了VMware。工作团队在周三完成了调查工作，今天早上在CVE报告出来之前发布了应急版本。

该漏洞是紧随另一个Spring漏洞之后出现的。之前那个漏洞编号为CVE-2022-22963，是Spring Cloud中的一个Spring表达式语言（SpEL）漏洞，与最近这个四处肆虐的漏洞并没有关联。

Sonatype的首席技术官Brian Fox特别指出，这个新漏洞的影响可能比前一个漏洞更大。Fox说：“新漏洞的确似乎允许未经身份验证的RCE，但同时有相应的缓解措施，目前没有达到Log4j那种程度的影响。”

他补充道：“我们可以理解，最近的Log4shell事件在业界引起了焦虑和不安，因为Spring是目前最流行的软件框架之一。不管怎样，这应该成为每一家组织认真评估如何管理第三方组件的另一个原因。”

ExtraHop公司的高级销售工程师Jamie Moles评论道：“虽然Spring在部署补丁方面的动作非常快，但这（打补丁）仍然是客户的责任。首席信息安全官（CISO）需要定期评估漏洞并打上补丁，没有哪家供应商会为他们做这项工作。外面有许多组织在不知情的情况下购买了使用Spring框架的应用程序。在这种情况下，供应商就需要迅速联系这些组织，并告知对方需要打补丁。”

“最终会有怎样的影响很难预测，但IT社区和Spring的反应非常迅速。最终，这完全取决于不法分子能多快地进行侦察以查找漏洞，并添加到实施攻击的战略手册中。Java应用于全球30亿个设备中，因此这很有可能成为黑客们利用的一种悄然但又致命的花招。”

ExtraHop的首席信息安全官Jeff Costlow警告说：“这个远程代码执行漏洞可能会带来巨大的影响。”

他说：“我们已接到了有人扫描以查找该漏洞的报告，因此充分利用一种完全沦为武器的概念证明（POC）只是时间问题。这是一个严重的远程代码执行零日漏洞，可以通过HTTP或HTTPS来访问。”

该漏洞存在于Spring Core on JDK 9+；万一无法打上Spring发布的修复程序，Praetorian团队发布了缓解措施。Spring团队还特别指出，该漏洞与SerializationUtils的弃用无关。

Spring是一种流行的框架，该漏洞提醒人们了解自己的应用程序依赖什么组件以及这些依赖项被如何使用有多重要。

Costlow补充道：“虽然开源代码确实是我们整个互联网和软件世界的基石，但这个漏洞再次揭示了这种无处不在的框架给网络安全带来的影响这个问题。”

可以说，影响相当大。

参考资料：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://www.praetorian.com/blog/spring-core-jdk9-rce/