Spring4Shell (CVE-2022-22965)
Spring4Shell (CVE-2022-22965) とは何ですか?
Spring4Shell (CVE-2022-22965)2022 年公表の Spring Framework のリモートコード実行脆弱性。JDK 9+ における安全でないデータバインディングを悪用し、Tomcat のプロパティを操作して Webshell を設置できた。
Spring4Shell(CVE-2022-22965)は 2022 年 3 月下旬に公表された Spring Framework のリモートコード実行脆弱性で、Java 9+ 上で WebMvc/WebFlux のリクエストマッピングを使用し、Tomcat に WAR としてデプロイされたアプリに影響します。攻撃者は class.module.classLoader を経由するパラメータを送ることで、Tomcat のロギング設定を上書きし、Webroot に攻撃者制御の JSP を書き出すことで認証不要の RCE を達成しました。同時期の Spring Cloud Function の CVE-2022-22963 と混同されがちです。対策には、Spring Framework を 5.3.18/5.2.20 以降へ更新(JDK の更新だけでは不十分)、公開された WAF パターンでのブロック、Tomcat 上のモノリシック WAR デプロイの回避があります。
● 例
- 01
class.module.classLoader を含む POST で Tomcat の Web アプリ内に JSP シェルを書き出す。
- 02
公表後、WAR としてデプロイされた Spring Boot アプリを大規模にスキャンして Webshell を設置する。
● よくある質問
Spring4Shell (CVE-2022-22965) とは何ですか?
2022 年公表の Spring Framework のリモートコード実行脆弱性。JDK 9+ における安全でないデータバインディングを悪用し、Tomcat のプロパティを操作して Webshell を設置できた。 サイバーセキュリティの 脆弱性 カテゴリに属します。
Spring4Shell (CVE-2022-22965) とはどういう意味ですか?
2022 年公表の Spring Framework のリモートコード実行脆弱性。JDK 9+ における安全でないデータバインディングを悪用し、Tomcat のプロパティを操作して Webshell を設置できた。
Spring4Shell (CVE-2022-22965) からどのように防御しますか?
Spring4Shell (CVE-2022-22965) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Spring4Shell (CVE-2022-22965) の別名は何ですか?
一般的な別名: CVE-2022-22965, Spring core RCE。