Был выявлен ряд широко известных уязвимостей, влияющих на популярную платформу Java Spring Framework и связанные с ней программные компоненты, обычно именуемые Spring4Shell.
На данный момент выпущено четыре CVE, которые активно обновляются по мере появления новой информации. Эти уязвимости могут привести, в худшем случае, к полной компрометации удаленного выполнения кода (RCE):
- CVE-2022-22947 — [official VMware post]
- CVE-2022-22950 — [official VMware post]
- CVE-2022-22963 — [official Spring project post]
- CVE-2022-22965 — [official Spring project post]
Клиенты, использующие Java Spring и связанные программные компоненты, такие как Spring Cloud Gateway, должны немедленно проверить свое программное обеспечение и обновить его до последних версий, следуя официальным указаниям проекта Spring.
Команда Cloudflare WAF активно отслеживает эти CVE и уже внедрила ряд новых управляемых правил смягчения последствий. Клиенты должны просмотреть правила, перечисленные ниже, чтобы убедиться, что они включены, а также установить исправления для базовых компонентов Java Spring.
CVE-2022-22947
Для этого CVE было разработано и развернуто новое правило с экстренным выпуском 29 марта:
Управляемое правило Весна — CVE:CVE-2022-22947
- Идентификатор правила WAF:
e777f95584ba429796856007fbe6c869 - Идентификатор устаревшего правила:
100522
Обратите внимание, что приведенное выше правило отключено по умолчанию и может привести к ложным срабатываниям. Мы советуем клиентам проверять совпадения правил или развертывать правило с LOG действие перед переключением на BLOCK.
CVE-2022-22950
В настоящее время доступные PoC блокируются следующим правилом:
Удалось Правило PHP — внедрение кода
- Идентификатор правила WAF:
55b100786189495c93744db0e1efdffb - Идентификатор устаревшего правила:
PHP100011
CVE-2022-22963
В настоящее время доступные PoC блокируются следующим правилом:
Управляемое правило Plone — опасное расширение файла
- Идентификатор правила WAF:
aa3411d5505b4895b547d68950a28587 - Устаревший идентификатор WAF:
PLONE0001
Мы также развернули новое правило в экстренном выпуске 31 марта (сегодня на момент написания), чтобы покрыть дополнительные варианты, пытающиеся использовать эту уязвимость:
Управляемое правило Spring — внедрение кода
- Идентификатор правила WAF:
d58ebf5351d843d3a39a4480f2cc4e84 - Устаревший идентификатор WAF:
100524
Обратите внимание, что недавно выпущенное правило отключено по умолчанию и может привести к ложным срабатываниям. Мы советуем клиентам проверять совпадения правил или развертывать правило с LOG действие перед переключением на BLOCK.
Кроме того, клиенты могут получить защиту от этого CVE, развернув основной набор правил Cloudflare OWASP с настройками по умолчанию или лучшими настройками в нашем новом WAF. Клиенты, использующие наш устаревший WAF, должны будут настроить высокий уровень чувствительности OWASP.
CVE-2022-22965
В настоящее время мы изучаем этот недавний CVE и как можно скорее предоставим обновление для нашего управляемого набора правил, если будет найдена применимая стратегия смягчения последствий или обхода. Пожалуйста, просматривайте и следите за нашим общедоступным журналом изменений.
