Spring Cloud Gateway遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-22947）

2022-03-03

一、概要

近日，華為云關(guān)注到VMware官方發(fā)布安全公告，披露Spring Cloud Gateway存在一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-22947）。當(dāng)Spring Cloud Gateway啟用、暴露 和不安全Gateway Actuator 端點(diǎn)時(shí)，攻擊者可以通過(guò)向使用 Spring Cloud Gateway 的應(yīng)用程序發(fā)送特制的惡意請(qǐng)求，觸發(fā)遠(yuǎn)程任意代碼執(zhí)行，利用難度低，目前POC已公開(kāi)，風(fēng)險(xiǎn)較高。

Spring Cloud Gateway是基于Spring Framework 和 Spring Boot構(gòu)建的API網(wǎng)關(guān)，它旨在為微服務(wù)架構(gòu)提供一種簡(jiǎn)單、有效、統(tǒng)一的API路由管理方式。華為云提醒使用Spring Cloud Gateway的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

CVE-2022-22947: Spring Cloud Gateway Code Injection Vulnerability

CVE-2022-22947: SPEL CASTING AND EVIL BEANS

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

3.1.x系列：Spring Cloud Gateway < 3.1.1

3.0.x系列：Spring Cloud Gateway < 3.0.7

其他舊的、不受支持的Spring Cloud Gateway版本

安全版本：

Spring Cloud Gateway >= 3.1.1

Spring Cloud Gateway >= 3.0.7

四、漏洞處置

1、目前官方已發(fā)布修復(fù)版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

https://github.com/spring-cloud/spring-cloud-gateway/tags

2、無(wú)法及時(shí)升級(jí)的用戶，可參考官方提供的修復(fù)建議進(jìn)行緩解：

a. 如果不需要Gateway Actuator 端點(diǎn)，通過(guò) management.endpoint.gateway.enabled: false 禁用它；

b. 如果需要Actuator，使用Spring Security 對(duì)其進(jìn)行防護(hù)，具體可參考官方說(shuō)明。

華為云WAF具備對(duì)該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請(qǐng)參見(jiàn)配置Web基礎(chǔ)防護(hù)規(guī)則。

華為云VSS具備對(duì)該漏洞的檢測(cè)能力。華為云VSS用戶可以檢測(cè)業(yè)務(wù)網(wǎng)站是否存在該漏洞，具體方法參考VSS網(wǎng)站漏洞掃描。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。