4月4日,微软发布公告称, 安全团队检测到正利用近期曝出的Spring4Shell(又名 SpringShell)远程代码执行(RCE)漏洞进行的攻击,目标是自身的云服务产品。
Spring4Shell漏洞(跟踪为 CVE-2022-22965)源自 Spring 框架,该框架被称为“使用最广泛的 Java 轻量级开源框架”。微软365 Defender 威胁情报团队表示,自该漏洞出现以来,就监测到了利用云服务中Spring Cloud 和 Spring Core 漏洞进行的持续性攻击。
根据4日发布的报告称,攻击者可以通过向运行 Spring Core 框架的服务器发送特制的查询来利用Spring Core 安全漏洞,从而在 Tomcat 根目录中创建 Web shell ,并以此在受感染的服务器上执行命令。
微软认定,受影响的系统具有以下特征:
1.运行 JDK 9.0 或更高版本
2.Spring Framework 版本 5.3.0 至 5.3.17、5.2.0 至 5.2.19 及更早版本
3.Apache Tomcat 作为 Servlet 容器
4.打包为传统的 Java Web 存档 (WAR) 并部署在独立的 Tomcat 实例中;使用嵌入式 Servlet 容器或响应式 Web 服务器的典型 Spring Boot 部署不受影响
5.Tomcat 有spring-webmvc或spring-webflux依赖项
此外,微软也表示,任何使用 JDK 9.0 或更高版本并使用 Spring Framework 或衍生框架的系统都存在风险。
4月5日, Check Point 发布报告评估,Spring4Shell漏洞利用尝试已达到所有受影响设备或组织的16%,并根据内部的监测数据显示,仅在上周末,Check Point 研究人员就检测到了大约 37000 次 Spring4Shell 漏洞利用攻击。