Spring Cloud Function SpEL注入漏洞（CVE-2022-22963）分析

一、概述

2022年3月24日，Pivotal修补了Spring Cloud Function中一个关键的服务器端代码注入漏洞（Spring表达式语言注入），该漏洞有可能导致系统被攻击。Spring是一种流行的开源Java框架，该漏洞与另一个相关的远程代码执行（RCE）漏洞（Spring Core，即“Spring4Shell”）均可通过Akamai Adaptive Security Engine (ASE) Kona Site Defender (KSD)规则集有效防御。

本文将重点分析Spring Cloud漏洞，有关Spring Core漏洞的详情请参阅这里。

Spring Cloud Function技术可实现业务逻辑与特定运行时之间的解耦。Spring表达式语言（SpEL）作为一种强大的表达式语言，已在各类Spring产品中实现了广泛应用，支持在运行时查询和操作对象图。过去，当应用程序以不安全的方式评估不受信任的用户输入的代码表达式时，很多远程代码执行方面的常见漏洞和暴露（CVE）都是围绕SpEL注入产生的（参见图1）。

图1：GitHub上的Spring Cloud Function代码路径

几天后，3月26日，GitHub用户“cckuailong”发布了一个概念验证漏洞，展示了对该漏洞的成功利用（图2）。

图2：公开的概念证实利用

随后不到一天的时间里，Akamai就观察到整个互联网上开始出现相关利用。

图3：3月27日开始的利用企图（来源：某客户的Akamai Web Security Analytics分析结果）

与Log4j类似，很多（并非全部）当前企图都是“Ping Back”类型的探测，攻击者只是在能够成功利用的情况下发出一个信标。

我们已经观察到全球各地的数千个IP地址开始发送有效载荷，其中大部分来自虚拟专用网络以及托管在公有云中的Web代理。

二、漏洞

通过补丁程序逆推可知，该漏洞可通过“spring.cloud.function.routing-expression”HTTP头来接收SpEL表达式，进而方便应用程序进行路由。

但代码中并不检查要评估的表达式是否应该通过HTTP头来接收。为修复该问题，添加了一个额外的headerEvalContext，它也是SimpleEvaluationContext的一部分。

三、使用KSD自适应安全引擎加以缓解

Akamai自适应安全引擎（ASE）可通过广泛的内置规则来检测命令注入，因为很多此类攻击的目标都是执行操作系统级别的命令。ASE能够利用现有命令注入规则检测到这个零日攻击：

此外下列Kona Site Defender规则集也可以缓解相关攻击：

• 3000041 – 服务器端模板注入
• 3000156 – CMD注入检测（PHP High-Risk Functions）

四、总结

虽然Spring Cloud Function的使用不像Log4j那么广泛，但这个漏洞易于利用的特点依然会吸引很多攻击者。Akamai预计该漏洞会引发很多以数字货币盗挖、DDoS攻击、勒索软件为目标的攻击，并且可能成为未来很长一段时间里潜入组织内网的有效途径。不过Akamai客户已经可以通过Akamai Adaptive Security Engine和Kona Site Defender规则集获得充分保护。

Akamai的威胁研究团队也将继续监控该漏洞的发展，并在出现新情况后及时通知大家。欢迎关注Akamai知乎机构号，第一时间了解最新近况。