Spring FrameworkとSpring Cloud Functionの脆弱性: 知っておくべきこと

トピック: Attacks and Threat Actors

2022年4月4日、Vishal Khandelwal

Barracuda Web Application Firewallのハードウェアおよび仮想アプライアンス、Barracuda CloudGen WAF on AWS、Azure、GCP、Barracuda WAF-as-a-Service、Barracuda Load Balancer ADCは、Spring Framework（Spring4Shell）およびSpring Cloud Functionリモートコード実行（RCE）の脆弱性の影響を受けません。今後も引き続き更新を行いますので、このページをご覧いただき、これらの脆弱性の最新情報をご確認ください。

脆弱性の詳細

本ブログでは、最近発見されたSpring Framework (CVE-2022-22965 & CVE-2022-22950) および Spring Cloud Function (CVE-2022-22963) の脆弱性についての最新情報を提供します。

これら３つの脆弱性( CVE-2022-22965, CVE-2022-22950, CVE-2022-22963 )をすべてSpring4Shellと呼ぶのは誤りです。Spring4ShellはCVE-2022-22965を指します。また、Spring4ShellはLog4jの脆弱性とは無関係であることに注意してください。

CVE-2022-22963｜CVSS スコア: 9.8｜ベンダー重要度: 致命的｜RCE

この脆弱性は2022年3月29日に報告されたもので、Spring Frameworkに含まれないSpring Cloud Functionのみに影響するものです。Springはすでに新しいバージョンをリリースして対処しています。

この脆弱性は、ルーティング機能を利用して、特別に細工された Spring Expression Language (SpEL) をルーティング式として提供し、ローカルリソースにアクセスして RCE を実行するものです。spring.cloud.function.routing-expression という特定の HTTP リクエストヘッダを使用します。

Barracuda Web Application Firewall、WAF-as-a-Service、およびLoadBalancer ADCは、この脆弱性の影響を受けません。

CVE-2022-22965｜CVSS スコア: 9.8｜ベンダー重要度: 致命的｜RCE｜Spring4Shell

この脆弱性は、JDK 9+で動作するSpring MVCおよびSpring WebFluxアプリケーションに影響を及ぼします。本稿執筆時点では、公開されている悪用方法はTomcat内でWARファイルを配置したアプリケーションにのみ影響し、JARファイルを配置したSpring Boot実行ファイルの場合には影響はありません。ただし、Tomcatの外での配置については、今後の取り組み次第で悪用されるようになるかもしれません。これはRCE脆弱性であり、CVE-2010-1622に対して設定された保護機能をバイパスしているように見えます。

シグネチャを手動で設定する手順は、キャンパスドキュメントで更新しています。

Barracuda Web Application Firewall、WAF-as-a-Service、およびLoadBalancer ADCは、この脆弱性の影響を受けません。

CVE-2022-22950｜CVSS スコア: 5.4｜ベンダー重要度: 中規模｜DoS

Spring Framework バージョン 5.3.0 – 5.3.16 およびそれ以前のサポートされていないバージョンでは、ユーザーが特別に細工した SpEL 式を提供することで、サービス拒否(DoS)状態を引き起こす可能性があります。

Barracuda Web Application Firewell、WAF-as-a-Service、およびLoadBalancer ADCは、この脆弱性の影響を受けません。

攻撃の検知と防御

Barracuda WAF-as-a-Service

バラクーダでは新しいシグネチャを展開して、これらのエクスプロイトの試みを検出し、ブロックしています。これらのシグネチャは、ベンダーとバラクーダの脅威調査から取得した最新の情報に従って、回避に対応するために更新されています。

Barracuda Web Application FirewallとBarracuda CloudGen WAF

これらの脆弱性に対する最新のシグネチャは、現場のユニットにロールアウトされています。

個人でディプロイする場合は、これらの脆弱性を緩和するための手動を記載したキャンパスドキュメントを更新しました。これらのシグネチャは、これまでに確認されたバリエーションを検出していますが、より新しいバリエーションが発見された場合にはその都度更新していきますのでご留意ください。

ベストプラクティスとして、Spring FrameworkおよびSpring Cloud FunctionベースのWebアプリケーションに、ベンダーの提言に従い、最新バージョンのパッチを適用することをお勧めします。

このミティゲーションに必要な新しいシグネチャと設定の詳細については、こちらのキャンパスドキュメントをご覧ください。

これらの設定に関するサポートや攻撃パターンに関するご質問は、バラクーダネットワークスのテクニカルサポートにお問い合わせください。

原文はこちら：
Spring Framework and Spring Cloud Function vulnerabilities: What you need to know
April 4, 2022　Vishal Khandelwal
https://blog.barracuda.com/2022/04/04/spring-framework-and-spring-cloud-function-vulnerabilities-what-you-need-to-know/