3月29日，有研究人員公開了Spring Core Java框架中的一個(gè)0 day安全漏洞——Spring4Shell，漏洞CVE編號(hào)尚未公布。該漏洞是由于傳遞的參數(shù)的不安全反序列化引發(fā)的，攻擊者利用該漏洞可以在應(yīng)用中實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

安全研究人員在發(fā)布后的幾天內(nèi)觀察到數(shù)以萬計(jì)的嘗試來利用關(guān)鍵的新的SpringShell（Spring4Shell）漏洞。Check Point Research聲稱在前四天內(nèi)發(fā)現(xiàn)了37000次此類嘗試，據(jù)推斷，大約16%的全球組織受到影響。

上周晚些時(shí)候，在開源Spring框架中實(shí)際上發(fā)現(xiàn)了三個(gè)漏洞，盡管主要的是CVE-2022-22965（SpringShell / Spring4Shell），這是Spring Core中一個(gè)關(guān)鍵的遠(yuǎn)程代碼執(zhí)行（RCE）錯(cuò)誤。

如果攻擊者向運(yùn)行Spring Core框架的Web服務(wù)器發(fā)送經(jīng)特殊設(shè)計(jì)的查詢，則可以利用此漏洞。另外兩個(gè)被認(rèn)為是Spring Cloud Function（CVE-2022-22963）和Spring Cloud Gateway（CVE-2022-22947）中不太嚴(yán)重的RCE漏洞。

當(dāng)美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）將其添加到其延長的已知被利用漏洞目錄中時(shí)，SpringShell的嚴(yán)重性得到了證實(shí)，這意味著所有民用聯(lián)邦機(jī)構(gòu)都必須在狹窄的時(shí)間內(nèi)修補(bǔ)它。

受影響的系統(tǒng)將運(yùn)行?Java?開發(fā)工具包 （JDK） 版本?9.0?或更高版本以及?Spring Framework?版本?5.3.0?至?5.3.17、5.2.0?至?5.2.19?和更早版本。

當(dāng)CVE上周爆發(fā)時(shí)，人們擔(dān)心SpringShell可能與2021年底發(fā)現(xiàn)的臭名昭著的Log4Shell錯(cuò)誤一樣糟糕。但是，考慮到利用此漏洞所需的條件，這不太可能。

微軟似乎同意這一點(diǎn)，并指出它所看到的大多數(shù)有限的漏洞利用嘗試都是為了在目標(biāo)Apache Tomcat服務(wù)器上放置一個(gè)Web shell。

"微軟定期監(jiān)控針對(duì)我們的云基礎(chǔ)架構(gòu)和服務(wù)的攻擊，以更好地防御它們。自Spring Core漏洞宣布以來，我們一直在跟蹤Spring Cloud和Spring Core漏洞的云服務(wù)中的低量利用嘗試，"微軟解釋說。

微軟對(duì)威脅形勢的持續(xù)監(jiān)控并沒有表明目前攻擊或新活動(dòng)的數(shù)量顯著增加。

原文轉(zhuǎn)自infosecurity，作者Phil Muncaster，超級(jí)科技譯，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明出處和原文譯者為超級(jí)科技！

Hi，我是超級(jí)科技

超級(jí)科技是信息安全專家，能無上限防御DDos攻擊和CC攻擊，阿里云戰(zhàn)略合作伙伴！