安全研究人员于3月29日,披露了一个存在于Spring Core的零时差远程程序攻击漏洞,且隔天就出现了概念性验证攻击程序,有鉴于Spring Core是个热门的Java应用程序框架,使得有人把该漏洞与Log4Shell相提并论,并将它称为SpringShell漏洞,不过,大多数的安全社群认为SpringShell并不如Log4Shell严重。
Spring是个开源的Java框架,该受到瞩目的安全漏洞尚未被赋给编号,因此暂且以SpringShell称之,且并非为Spring始于29日所修补的CVE-2022-22963。
发布SpringShell概念性验证攻击程序的研究人员,宣称该漏洞允许黑客变更应用程序的记录参数,以恣意写入内容,使用修改后的记录器以撰写含有Webshell的有效JSP文件,利用该Webshell自远程执行程序,虽然研究人员很快就将该概念性验证程序下架,但已遭到安全社群备份,且复制其攻击行动,证明这是个有效的漏洞。
尽管开采SpringShell只需传递一个特定的请求至JDK9,但它仅影响JDK9,而且必须在特定的配置下才会成功,例如端点必须激活DataBinder,且重度依赖应用程序的Servlet容器。
安全社群把SpringShell视CVE-2010-1622的绕过漏洞,迄今Spring尚未发布修补程序,安全企业Praetorian则建议Spring框架用户应借由限制危险的DataBinder参数,来减轻SpringShell漏洞可能造成的威胁。
对于Spring Core零时差漏洞的威胁,台湾安全企业TeamT5在3月30日傍晚也发布紧急通知,说明此漏洞官方尚未提供修补程序,并会对众多服务造成影响,提醒用户查看自身程序代码库并采取缓解措施。