Spring Cloud Function SpEL表達(dá)式注入漏洞預(yù)警

2022-03-28

一、概要

近日，華為云關(guān)注到Spring Cloud官方發(fā)布安全公告，披露在 Spring Cloud Function特定版本中存在SpEL表達(dá)式注入漏洞。未經(jīng)身份認(rèn)證的攻擊者通過構(gòu)造特定的數(shù)據(jù)包，在特定的HTTP請求頭中注入惡意的SpEL表達(dá)式，最終實(shí)現(xiàn)遠(yuǎn)程任意代碼執(zhí)行。目前漏洞POC已公開，風(fēng)險(xiǎn)較高。

Spring Cloud Function是基于Spring Boot的函數(shù)框架。華為云提醒使用Spring Cloud Function的用戶及時(shí)安排自檢并做好安全加固。

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

v3.0.0.RELEASE <= Spring Cloud Function <= v3.2.2

安全版本：

目前官方僅發(fā)布了安全補(bǔ)丁，暫未發(fā)布安全版本

四、漏洞處置

目前官方已發(fā)布修復(fù)補(bǔ)丁，建議受影響的用戶應(yīng)用補(bǔ)丁進(jìn)行臨時(shí)規(guī)避：

https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。

華為云安全持續(xù)監(jiān)測此漏洞及其變種攻擊，有使用如下華為云安全服務(wù)的用戶可開啟防護(hù)功能：

華為云WAF具備對利用此漏洞攻擊的檢測與防御能力，標(biāo)準(zhǔn)版及以上規(guī)格可滿足，支持局點(diǎn)有：北京一、北京四、烏蘭察布一、上海一、上海二、廣州、廣州友好、貴陽一、香港、曼谷、新加坡、約翰內(nèi)斯堡、墨西哥一、墨西哥二、圣保羅一、圣地亞哥。開通成功后將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式即可，具體方法請參見配置Web基礎(chǔ)防護(hù)規(guī)則。

華為云漏掃服務(wù)VSS能夠檢測網(wǎng)站是否存在該漏洞。華為云VSS用戶可以在VSS控制臺(tái)，資產(chǎn)列表->網(wǎng)站->新增域名，啟動(dòng)掃描，等待任務(wù)結(jié)束，查看掃描報(bào)告即可。具體參見用戶指南。