Как подключить Cloudflare

Меры по смягчению последствий WAF для Spring4Shell

Был выявлен ряд широко известных уязвимостей, влияющих на популярную платформу Java Spring Framework и связанные с ней программные компоненты, обычно именуемые Spring4Shell.

На данный момент выпущено четыре CVE, которые активно обновляются по мере появления новой информации. Эти уязвимости могут привести, в худшем случае, к полной компрометации удаленного выполнения кода (RCE):

Клиенты, использующие Java Spring и связанные программные компоненты, такие как Spring Cloud Gateway, должны немедленно проверить свое программное обеспечение и обновить его до последних версий, следуя официальным указаниям проекта Spring.

Команда Cloudflare WAF активно отслеживает эти CVE и уже внедрила ряд новых управляемых правил смягчения последствий. Клиенты должны просмотреть правила, перечисленные ниже, чтобы убедиться, что они включены, а также установить исправления для базовых компонентов Java Spring.

CVE-2022-22947

Для этого CVE было разработано и развернуто новое правило с экстренным выпуском 29 марта:

Управляемое правило Весна — CVE:CVE-2022-22947

Обратите внимание, что приведенное выше правило отключено по умолчанию и может привести к ложным срабатываниям. Мы советуем клиентам проверять совпадения правил или развертывать правило с LOG действие перед переключением на BLOCK.

CVE-2022-22950

В настоящее время доступные PoC блокируются следующим правилом:

Удалось Правило PHP — внедрение кода

CVE-2022-22963

В настоящее время доступные PoC блокируются следующим правилом:

Управляемое правило Plone — опасное расширение файла

Мы также развернули новое правило в экстренном выпуске 31 марта (сегодня на момент написания), чтобы покрыть дополнительные варианты, пытающиеся использовать эту уязвимость:

Управляемое правило Spring — внедрение кода

Обратите внимание, что недавно выпущенное правило отключено по умолчанию и может привести к ложным срабатываниям. Мы советуем клиентам проверять совпадения правил или развертывать правило с LOG действие перед переключением на BLOCK.

Кроме того, клиенты могут получить защиту от этого CVE, развернув основной набор правил Cloudflare OWASP с настройками по умолчанию или лучшими настройками в нашем новом WAF. Клиенты, использующие наш устаревший WAF, должны будут настроить высокий уровень чувствительности OWASP.

CVE-2022-22965

В настоящее время мы изучаем этот недавний CVE и как можно скорее предоставим обновление для нашего управляемого набора правил, если будет найдена применимая стратегия смягчения последствий или обхода. Пожалуйста, просматривайте и следите за нашим общедоступным журналом изменений.

Что такое Cloudflare