Trusted Design

解説:

CVE-2022-22963について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2022-22963は、Spring Cloud Functionにおけるリモートコード実行（RCE）の脆弱性です。攻撃者は、HTTPリクエストヘッダーspring.cloud.function.routing-expressionパラメーターに特別に細工されたSpring Expression Language（SpEL）式を注入し、任意のコードを実行したり、ローカルリソースにアクセスしたりすることが可能になります。

1.1 影響

この脆弱性が悪用された場合、機密性、完全性、可用性に高い影響を与え、ホストまたはコンテナの完全な侵害につながる可能性があります。攻撃者は任意のコマンドを実行し、影響を受けるシステムを完全に制御できる可能性があります。 Spring Cloud FunctionがAWS LambdaやGoogle Cloud Functionsのようなクラウドサーバーレス機能で使用されている場合、攻撃者がクラウドアカウント内に侵入する可能性もあります。

1.2 深刻度

この脆弱性のCVSSv3スコアは9.8であり、深刻度は「Critical」（重大）または「High」（高）と評価されています。 米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、この脆弱性を「既知の悪用されている脆弱性（KEV）カタログ」に追加しており、実際に悪用されていることが示されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は、特定のOSバージョンに直接関連するものではなく、Spring Cloud Functionのバージョンに依存します。

2.2 影響を受ける設定

以下のSpring Cloud Functionのバージョンが影響を受けます。

• Spring Cloud Function 3.1.6
• Spring Cloud Function 3.2.2
• 上記より古い、サポートされていないバージョン

ルーティング機能を使用している場合に脆弱性の影響を受けます。 また、Oracle Bankingの一部の製品 や、VxRail Appliance Software 4.5.xxx も影響を受けることが報告されています。

3. 影響を受けた時の兆候

以下のような兆候が影響を受けた可能性を示します。

• ログエントリにSpEL評価エラーまたは異常なルーティング処理が見られる。
• Javaアプリケーションによって疑わしい子プロセスが生成される。
• アプリケーションサーバーからコマンド＆コントロール通信と疑われる外部ネットワーク接続がある。
• 予期しないシェルコマンドの実行やファイルシステムの変更が検出される。
• spring.cloud.function.routing-expressionヘッダーに悪意のあるJavaコード（例: T(java.lang.Runtime).getRuntime().exec("command")）を含むHTTP POSTリクエストが/FunctionRouterパスに対して送信される。

4. 推奨対策

4.1 本対策

直ちに、Spring Cloud Functionを以下のバージョンにアップグレードしてください。

• Spring Cloud Function 3.1.7 以降
• Spring Cloud Function 3.2.3 以降

VxRail環境の場合、VxRail Package Software 7.0.xxx以降、またはVxRail Appliance Software 4.7.542以降でこの問題は解決されています。

4.2 暫定回避策（緩和策）

パッチの適用がすぐにできない場合は、以下の緩和策を検討してください。

• Spring Cloud Functionのルーティング機能を無効にする。
• Web Application Firewall (WAF) を導入し、spring.cloud.function.routing-expressionヘッダーに含まれるSpEL式（特にT(, Runtime, exec(などの疑わしいパターン）を含むリクエストをブロックするルールを設定する。
• Spring Cloud Functionのエンドポイントへのネットワークアクセスを信頼できる送信元のみに制限する。
• 脆弱なバージョンの影響を受けるパッケージをブラックリストに登録する。
• ビルドおよびデプロイプロセスでイメージスキャンを実施し、脆弱なイメージを検出する。
• ランタイム検出エンジンを使用して、デプロイ済みのホストやPodにおける悪意のある振る舞いを検出する。
• Spring Cloud Functionのルーティング機能について詳細なログを有効にする。
• SpELインジェクションの兆候に対するアラート機能を備えた集中ログ収集および分析システムを導入する。

5. その他

• この脆弱性は2022年3月29日に初回報告されました。
• CVE-2022-22963は、同時期に公開され混同されやすいCVE-2022-22965（通称Spring4Shell）とは異なる脆弱性です。CVE-2022-22963はSpring Cloud Functionに特化したものであり、CVE-2022-22965はSpring Frameworkに影響を与えます。
• この脆弱性を悪用する公開されたエクスプロイトコードが存在し、実際に悪用が確認されています。

参照したサイト

• Detecting and Mitigating CVE-2022-22963: Spring Cloud RCE Vulnerability | Sysdig
• CVE-2022-22963: Spring Cloud Function RCE Vulnerability - SentinelOne
• CVE-2022-22963: Remote code execution in Spring Cloud Function by malicious Spring Expression
• CVE-2022-22963 - Red Hat Customer Portal
• CVE-2022-22963: Critical RCE Vulnerability in Spring Cloud - SentinelOne
• Spring4Shell & CVE-2022-22963: New Spring Vulnerabilities | Black Duck Blog
• cve-2022-22963 - NVD
• CVE-2022-22963 | Tenable®
• Springing 4 Shells: The Tale of Two Spring CVEs - Splunk
• Advisory: Spring Cloud Function (SPEL) and Spring Framework AKA SpringShell vulnerabilities (CVE-2022-22963, CVE-2022-22965) | Sophos
• Addressing the Spring4Shell and CVE-2022-22963 RCE vulnerabilities in cloud environments | Wiz Blog
• Guidance for reducing Spring4Shell security vulnerability risk with Citrix WAF (CVE-2022-22963 / CVE-2022-22965)
• Details on Spring Cloud (CVE-2022-22963), Spring Beans (CVE-2022-22965), Spring Expression (CVE-2022-22950), and Spring Cloud Gateway Code Injection (CVE-2022-22947) vulnerabilities - Trellix Thrive Portal
• Information on Spring4Shell (CVE-2022-22963/CVE-2022-22965) and VxRail Environments | Dell US
• Spring Cloud Function Exploit Attempt - CVE-2022-22963 - ExtraHop
• [Security Notice] Remote Code Execution Vulnerability in Spring Cloud Function (CVE-2022-22963)