預(yù)警范圍:
使用了Spring MVC框架的應(yīng)用系統(tǒng)且jdk版本>=9
漏洞描述:
SpringMVC框架的參數(shù)綁定功能提供了將請(qǐng)求中的參數(shù)綁定控制器方法中參數(shù)對(duì)象的成員變量,攻擊者通過構(gòu)造惡意請(qǐng)求獲取AccessLogValve對(duì)象并注入惡意字段值觸發(fā)pipeline機(jī)制可寫入任意路徑下的文件。有專業(yè)機(jī)構(gòu)監(jiān)測(cè)發(fā)現(xiàn)該漏洞已被攻擊者利用,漏洞細(xì)節(jié)已經(jīng)在小范圍公開。鑒于Spring MVC 框架應(yīng)用廣泛,請(qǐng)各單位組織排查,有關(guān)系統(tǒng)是否使用了受影響的Spring MVC 框架。
危害評(píng)估:
漏洞利用難度低,應(yīng)用范圍較廣,官方暫未發(fā)布修復(fù)補(bǔ)丁。
漏洞影響排查方法:
(一) JDK版本號(hào)排查
在業(yè)務(wù)系統(tǒng)的運(yùn)行服務(wù)器.上,執(zhí)行“java -version” 命令查看運(yùn)行的JDK版本,如果版本號(hào)小于等于8,則不受漏洞影響。
(二)Spring框架使用情況排查
1. 如果業(yè)務(wù)系統(tǒng)項(xiàng)目以war包形式部署,按照如下步驟進(jìn)行判斷。
(1) 解壓war包:將war文件的后綴修改成.zip ,解壓zip文件
(2)在解壓縮目錄下搜索是否存在spring-beans-*. jar格式的jar 文件(例如spring -beans-5.3.16. jar) , 如存在則說明業(yè)務(wù)系統(tǒng)使用了spring框架進(jìn)行開發(fā)。
(3)如果spring-beans-*. jar文件不存在,則在解壓縮目錄下搜索CachedIntrospectionResuLts. class文件是否存在,如存在則說明業(yè)務(wù)系統(tǒng)使用了Spring框架開發(fā)。
2.如果業(yè)務(wù)系統(tǒng)項(xiàng)目以jar包形式直接獨(dú)立運(yùn)行,按照如下步驟進(jìn)行判斷。
(1)解壓jar包:將jar文件的后綴修改成. zip,解壓zip文件。
(2)在解壓縮目錄下搜索是否存在spring-beans-*. jar格式的jar文件(例如spring-beans-5.3. 16. jar) , 如存在則說明業(yè)務(wù)系統(tǒng)使用了spr ing框架進(jìn)行開發(fā)。
(3)如果spring-beans-*. jar文件不存在,則在解壓縮目錄下搜索CachedIntrospectionResults. class文件是否存在,如存在則說明業(yè)務(wù)系統(tǒng)使用了spring框架進(jìn)行開發(fā)。
(三)綜合判斷
在完成以上兩個(gè)步驟排查后,同時(shí)滿足以下兩個(gè)條件可確定受此漏洞影響:
(1) JDK版本號(hào)在9及以上的;
(2)使用了spring框架或衍生框架。
處置建議:
(一) WAP防護(hù)
在WAF等網(wǎng)絡(luò)防護(hù)設(shè)備上,根據(jù)實(shí)際部署業(yè)務(wù)的流量情況,實(shí)現(xiàn)對(duì){"class. *", "Class. *","*. class. *”,"*. Class. *”}等字符串的規(guī)則過濾,并在部暑過濾規(guī)則后,對(duì)業(yè)務(wù)運(yùn)行情況進(jìn)行測(cè)試,避免產(chǎn)生額外影響。
(二)臨時(shí)修復(fù)措施
目前,spring 官方無官方補(bǔ)丁,建議采用以下二個(gè)臨時(shí)方案進(jìn)行防護(hù),并及時(shí)關(guān)注官方補(bǔ)丁發(fā)布情況,按官方補(bǔ)丁修復(fù)漏洞。
需同時(shí)按以下兩個(gè)步驟進(jìn)行漏洞的臨時(shí)修復(fù):
1.在應(yīng)用中全局搜索@InitBinder注解,看看方法體內(nèi)是否調(diào)用dataBinder. setDisallowedFields方法,如果發(fā)現(xiàn)此代碼片段的引入,則在原來的黑名單中,添加{' class. *", "Class. *","*. class. *”,"*. Class. *”}。(注:如果 此代碼片段使用較多,需要每個(gè)地方都追加)
2.在應(yīng)用系統(tǒng)的項(xiàng)目包下新建以下全局類,并保證這個(gè)類被Spring加載到(推薦在Controller所在的包中添加)。完成類添加后,需對(duì)項(xiàng)目進(jìn)行重新編譯打包和功能驗(yàn)證測(cè)試。并重新發(fā)布項(xiàng)目。
import org.springframework.core.annotation. Order;
import org.springframework. web. bind .WebDataBinder ;
import
org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation. InitBinder ;
@ControllerAdvice
@Order( 10000 )
public class GlobalControllerAdvice {
@InitBinder
public void setAl lowedFields ( webdataBinder dataBinder) {
String[ ]abd=new
string[ ]{"class.*","Class.*","*.class.*","*.Class. *"};
dataBinder . setDisallowedFields (abd) ;
}
}
本文來源:杭州默安科技有限公司應(yīng)急響應(yīng)中心