漏洞描述

作为目前全球最受欢迎的Java轻量级开源框架Spring允许开发人员专注于业务逻辑简化Java企业级应用的开发周期。

但在Spring框架的JDK9版本(及以上版本)中远程攻击者可在满足特定条件的基础上通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值从而触发pipeline机制并 写入任意路径下的文件。

目前已知触发该漏洞需要满足两个基本条件

• 使用JDK9及以上版本的Spring MVC框架
• Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class

漏洞影响范围

• JDK9 <= Spring Cloud Function
• 执行“java-version”命令可查看JDK版本

复现过程

用的nssctf平台的环境

启动一个环境

用于这个平台的环境太拉跨了动不动就崩手工写shell中间可能中途有一步没成功就写不进去就直接使用exp了(EXP暂不公布)

手工思路大致是是 利⽤class 对象构造利⽤链修改Tomcat的⽇志配置向⽇志中写⼊shell

ok已经写进去shell了

打开shell地址

解决方案(临时)

目前Spring官方并没有发布与此漏洞相关的补丁文件相关漏洞POC也暂未被公开。考虑到自3月29日起已在小范围传播鉴于Spring MVC的广泛应用各企业仍需警惕远程攻击者并采用广东省网络安全应急响应中心公布临时方案加强防护。FreeBuf将密切关注Spring官方的补丁发布情况。

临时方案1WAF临时策略

在WAF等网络防护设备上根据实际部署业务的流量情况实现对

“class.*”“Class.*”“*.class.*”“*.Class.*” 

等字符串的规则过滤并在部署过滤规则后对业务允许情况进行测试避免产生额外影响。

临时方案2临时缓解措施

在应用系统的项目包下新建以下全局类并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;

@ControllerAdvice
@Order(10000)
public class a{
@InitBinder
public void setAllowedFields(WebDataBinder dataBinder) {
String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};
dataBinder.setDisallowedFields(abd);
}
}