做网站不给提供ftp,wordpress学习,如何建立自己手机网站,WordPress 评论列表折叠一、概述
2022年3月24日#xff0c;Pivotal修补了Spring Cloud Function中一个关键的服务器端代码注入漏洞#xff08;Spring表达式语言注入#xff09;#xff0c;该漏洞有可能导致系统被攻击。Spring是一种流行的开源Java框架#xff0c;该漏洞与另一个相关的远程代码执…一、概述
2022年3月24日Pivotal修补了Spring Cloud Function中一个关键的服务器端代码注入漏洞Spring表达式语言注入该漏洞有可能导致系统被攻击。Spring是一种流行的开源Java框架该漏洞与另一个相关的远程代码执行RCE漏洞Spring Core即“Spring4Shell”均可通过Akamai Adaptive Security Engine (ASE) Kona Site Defender (KSD)规则集有效防御。
本文将重点分析Spring Cloud漏洞有关Spring Core漏洞的详情请参阅这里。
Spring Cloud Function技术可实现业务逻辑与特定运行时之间的解耦。Spring表达式语言SpEL作为一种强大的表达式语言已在各类Spring产品中实现了广泛应用支持在运行时查询和操作对象图。过去当应用程序以不安全的方式评估不受信任的用户输入的代码表达式时很多远程代码执行方面的常见漏洞和暴露CVE都是围绕SpEL注入产生的参见图1。 图1GitHub上的Spring Cloud Function代码路径 几天后3月26日GitHub用户“cckuailong”发布了一个概念验证漏洞展示了对该漏洞的成功利用图2。 图2公开的概念证实利用 随后不到一天的时间里Akamai就观察到整个互联网上开始出现相关利用。 图33月27日开始的利用企图来源某客户的Akamai Web Security Analytics分析结果 与Log4j类似很多并非全部当前企图都是“Ping Back”类型的探测攻击者只是在能够成功利用的情况下发出一个信标。 我们已经观察到全球各地的数千个IP地址开始发送有效载荷其中大部分来自虚拟专用网络以及托管在公有云中的Web代理。
二、漏洞
通过补丁程序逆推可知该漏洞可通过“spring.cloud.function.routing-expression”HTTP头来接收SpEL表达式进而方便应用程序进行路由。 但代码中并不检查要评估的表达式是否应该通过HTTP头来接收。为修复该问题添加了一个额外的headerEvalContext它也是SimpleEvaluationContext的一部分。 三、使用KSD自适应安全引擎加以缓解
Akamai自适应安全引擎ASE可通过广泛的内置规则来检测命令注入因为很多此类攻击的目标都是执行操作系统级别的命令。ASE能够利用现有命令注入规则检测到这个零日攻击 此外下列Kona Site Defender规则集也可以缓解相关攻击
3000041 – 服务器端模板注入3000156 – CMD注入检测PHP High-Risk Functions
四、总结
虽然Spring Cloud Function的使用不像Log4j那么广泛但这个漏洞易于利用的特点依然会吸引很多攻击者。Akamai预计该漏洞会引发很多以数字货币盗挖、DDoS攻击、勒索软件为目标的攻击并且可能成为未来很长一段时间里潜入组织内网的有效途径。不过Akamai客户已经可以通过Akamai Adaptive Security Engine和Kona Site Defender规则集获得充分保护。
Akamai的威胁研究团队也将继续监控该漏洞的发展并在出现新情况后及时通知大家。欢迎关注Akamai知乎机构号第一时间了解最新近况。
