最近,在常见的开发框架 Spring中发现了新的零日漏洞,可被利用进行远程代码执行 (RCE) 。Spring是一个用 Java 语言编写的应用程序开发框架,该框架为基于 Java 的企业应用提供了全面的编程和配置模型,可以在任何类型的平台上部署。由于Java 是现在最常用的开发语言之一,Spring 通常也被认为是最流行最成功的 Java 框架,所以最新发现的漏洞可能使得成千上万的应用程序面临被入侵的风险。在两个独立的漏洞披露中,Spring 框架下的 Cloud 和 Core 模块都被发现可以用作RCE攻击的严重缺陷。
第一个漏洞披露发布于 3 月 26 日,报告 Spring 框架的Cloud 模块存在严重缺陷,该漏洞允许将 SPeL 表达式注入请求标头中 (Header)。攻击者精心构造的标头内容会被Java服务器解析,最终导致恶意的远程命令执行。该漏洞编号为 CVE-2022-22963。
在 3 月 29 日,一名研究人员在 Twitter 上披露了第二个漏洞,推文中包含漏洞利用请求的截屏,原文很快被删除了。但随后,其他人在推特上转发了漏洞披露信息,并且同时发布到了GitHub,很快这些转发也被删除了。在漏洞描述中说明了在JDK 9或者以上的版本中,Spring 框架的Cloud 模块Java 类注入存在缺陷。攻击者可以利用数据绑定功能中的漏洞,对服务器实现远程命令执行 RCE 操作。第二个漏洞的编号为 CVE-2022-22965。
自漏洞披露以来,Imperva 威胁研究团队就开始对这两个新的零日漏洞进行监控。Imperva团队在互联网上发现了极其广泛的漏洞利用尝试,截至 3 月 31 日已经有约 550 万起该类型攻击。
针对 CVE-2022-22963 的防护方案
Imperva 威胁研究团队的分析师在漏洞披露的第一时间就下载并快速测试了对漏洞的利用,验证了针对这两个漏洞的攻击均可以被 Imperva 的云WAF 和WAF 网关识别和阻止。
另外Imperva 还提供应用运行时自防护 (RASP) 方案。通过防护机理分析结合实际测试,证明了在不需要任何代码更改或策略更新的情况下,RASP可以完美地阻止由 CVE-2022-22963 和Spring4Shell 引发的远程命令执行攻击危险。如果部署了Imperva RASP方案,所有类型的应用程序(活动的、遗留的、第三方的、API 等)都能够得到保护。
Imperva WAF 和RASP 两类方案可以结合在一起,为应用程序和 API 服务提供纵深防御。上述两个方案都是各自行业的领先产品,旨在防御零日漏洞威胁和应对 OWASP 十大应用安全问题。如果您正在寻找针对 CVE-2022-22963 的保护方案,请联系我们。
针对 CVE-2022-22965 的防护方案
问:如何验证第二个零日漏洞, JDK 9+版本下中Spring 数据绑定RCE (Spring4Shell) 能够被有效阻止?
答:对于云WAF 客户,Imperva 能够提供针对该类攻击的完整分析,可以向客户展示任何对CVE-2022-22963 的利用尝试;Imperva证明,云WAF平台上现有针对旧漏洞(包含大家熟知的 CVE-2015-1427)的安全规则可杜绝CVE-2022-22965的危害。对于 WAF 网关的客户,Imperva 已通过完备的测试证明:针对旧漏洞的签名(涵盖了对 CVE-2010-1871、CVE-2018-1260 和 CVE-2015-1427的防护)已经部署在客户的WAF网关平台上,这些签名策略可以有效防止 CVE-2022-22963 和 CVE-2022-22965 的攻击。
Imperva 正在积极制定更新更精确的防护规则,这些安全规则会标注与 CVE-2022-22963 和CVE-2022-22965 关联的明确名称。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...