Spring Cloud Function の SpEL インジェクション脆弱性 (CVE-2022-22963) の分析

Akamai の強力なセキュリティソリューションの詳細については、こちらをご覧ください。

1. 概要

2022年3月24日、 Pivotalは、システム攻撃につながる可能性のある、 Spring Cloud Functionの重大なサーバー側コードインジェクション脆弱性（ Spring Expression Language Injection）を修正しました。 Springは人気の高いオープンソースのJavaフレームワークであり、この脆弱性と関連する別のリモートコード実行 ( RCE ) 脆弱性 ( Spring Core 、別名「Spring4Shell」 ) は、Akamai Adaptive Security Engine (ASE) Kona Site Defender (KSD)ルールセットによって効果的に保護できます。

この記事では、 Spring Cloud の脆弱性の分析に焦点を当てます。 Spring Core の脆弱性の詳細については、ここを参照してください。

Spring Cloud Functionテクノロジーは、ビジネスロジックを特定のランタイムから分離します。強力な式言語であるSpring Expression Language ( SpEL ) は、さまざまなSpring製品で広く使用されており、実行時にオブジェクトグラフのクエリと操作をサポートしています。これまで、リモートコード実行に関する多くの共通脆弱性識別子 ( CVE )は、信頼できないユーザー入力からのコード式をアプリケーションが安全でない方法で評価するSpELインジェクションを中心に展開されてきました( 図1を参照)。

図1 : GitHub上のSpring Cloud Functionコードパス

数日後の3月26日、 GitHubユーザー「cckuailong」が、脆弱性の悪用に成功したことを示す概念実証エクスプロイトを公開しました（図2 ）。

図2 : 公開された概念実証エクスプロイト

Akamai は1 日も経たないうちに、インターネット全体に関連エクスプロイトが出現したことを確認しました。

図3 : 3 月 27 日から始まったエクスプロイトの試み(出典:顧客向けAkamai Web Security Analytics分析結果)

Log4jと同様に、現在の多くの (ただしすべてではない) 試みは「Ping Back」タイプのプローブであり、攻撃者はそれをうまく悪用できれば単にビーコンを送信するだけです。

私たちは、世界中で何千ものIPアドレスがペイロードを送信しているのを観察してきましたが、そのほとんどはパブリッククラウドでホストされている仮想プライベートネットワークとWebプロキシから発信されています。

2. 脆弱性

パッチをリバースすると、脆弱性により「 spring.cloud.function.routing-expression 」HTTPヘッダーを介してSpEL式を受信でき、アプリケーションのルーティングが容易になることがわかります。

しかし、このコードでは、評価する式をHTTPヘッダー経由で受信する必要があるかどうかはチェックされません。これを修正するために、 SimpleEvaluationContextの一部でもある追加のheaderEvalContextが追加されました。

3. KSD適応型セキュリティエンジンを使用して軽減する

Akamai Adaptive Security Engine ( ASE ) には、コマンドインジェクションを検出するための広範な組み込みルールがあります。これらの攻撃の多くは、オペレーティングシステムレベルのコマンドの実行を目的としているためです。 ASE は、既存のコマンドインジェクションルールを使用してこのゼロデイ攻撃を検出することができました。

さらに、次のKona Site Defenderルールセットは関連する攻撃を軽減できます。

3000041 –サーバー側テンプレートインジェクション
3000156 – CMDインジェクション検出 ( PHP 高リスク関数)

IV.結論

Spring Cloud Function はLog4jほど広く使用されていませんが、脆弱性は簡単に悪用されるため、依然として多くの攻撃者を引き付けることになります。 Akamai は、この脆弱性がデジタル通貨の盗難、 DDoS攻撃、ランサムウェアを狙った多くの攻撃を引き起こし、今後長期間にわたって組織のイントラネットに侵入する効果的な手段になる可能性があると予想しています。ただし、 Akamai のお客様は、Akamai Adaptive Security EngineとKona Site Defenderルールセットによってすでに完全に保護されています。