Spring Cloud Function SpEL注入漏洞(CVE-2022-22963)分析
发布网友
发布时间:2024-10-24 15:26
共1个回答
热心网友
时间:2024-11-19 02:18
2022年3月24日,Pivotal修复了Spring Cloud Function中的关键服务器端代码注入漏洞,涉及Spring表达式语言注入,可能引发系统攻击。本文集中分析Spring Cloud Function漏洞,详细信息请参考相关链接。Spring Cloud Function技术实现业务逻辑与运行时解耦,Spring表达式语言(SpEL)支持查询和操作对象图。过去,不安全评估用户输入代码表达式常导致远程代码执行漏洞。几天后,GitHub用户“cckuailong”发布概念验证,展示漏洞利用。紧接着,Akamai观察到互联网上开始出现相关利用,发现目标多为“Ping Back”类型探测。我们注意到全球数千IP地址发送有效载荷,大部分来自云服务。漏洞通过“spring.cloud.function.routing-expression”HTTP头接收SpEL表达式,但代码未检查是否安全接收。修复需添加额外的headerEvalContext。Akamai自适应安全引擎通过内置规则检测命令注入,缓解了零日攻击。Kona Site Defender规则集也有效缓解相关攻击。Spring Cloud Function使用虽不及Log4j广泛,但漏洞易于利用,吸引攻击者。预计漏洞引发数字货币盗挖、DDoS攻击、勒索软件等目标攻击,并可能成为潜入组织内网的有效途径。Akamai客户通过其安全引擎获得保护。威胁研究团队将持续监控漏洞发展,及时通知最新情况。欢迎关注Akamai知乎机构号,获取最新信息。
