时间:2022-03-26 作者:奇安信CERT
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
安全通告
漏洞信息
SpringCloudFunction是来自Pivotal的Spring团队的新项目,它致力于促进函数作为主要的开发单元。该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像AmazonAWSLambda这样的FaaS(函数即服务,functionasaservice)平台。
近日,奇安信CERT监测到SpringCloudFunctionSpEL表达式注入漏洞,远程攻击者在无需认证的情况下,构造特定的数据包,在header中添加"spring.cloud.function.routing-expression"参数并携带SpEL表达式,成功利用此漏洞可实现任意代码执行。
目前,此漏洞细节及PoC已公开,经奇安信CERT验证,此漏洞POC有效。鉴于此漏洞PoC已公开,建议客户尽快做好自查及防护。
奇安信CERT已成功复现SpringCloudFunctionSpEL表达式注入漏洞,复现截图如下:
威胁评估
处置建议
目前,SpringCloudFunction官方已针对此漏洞进行修复,但还没有发布正式版本。
建议等待官方发布修复版本或自行下载修复代码进行手动编译。
修复版本地址:https://github.com/spring-cloud/spring-cloud-function/tree/0e89ee27b2e76138c16bcba6f4bca906c4f3744f
排查方法:
如果程序使用Maven打包,可以通过排查项目的pom.xml文件中是否引入spring-cloud-function相关依赖,确认其版本是否在受影响范围内。
产品解决方案
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全面支持对SpringCloudFunctionSpEL表达式注入漏洞的防护。
奇安信天眼检测方案
奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0326.13275或以上版本。规则ID及规则名称:
0x10020EA7,SpringCloudFunctionSpEL表达式注入漏洞。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全面支持对SpringCloudFunctionSpEL表达式注入漏洞的防护。
奇安信开源卫士已更新
奇安信开源卫士20220326.1021版本已支持对SpringCloudFunctionSpEL表达式注入漏洞的检测。
参考资料
[1]https://github.com/spring-cloud/spring-cloud-function/tags
[2]https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f
[3]https://github.com/spring-cloud/spring-cloud-function/tree/0e89ee27b2e76138c16bcba6f4bca906c4f3744f
时间线
2022年3月26日,奇安信CERT发布安全风险通告。
到奇安信NOX-安全监测平台查询更多漏洞详情
奇安信CERT长期招募安全研究员
95015服务热线
微信公众号