脆弱性の概要

Springの公式開示情報と弊社の独自分析によると、Java Development Kit (JDK) 9以降で動作するSpring MVCおよびWebFluxアプリケーションには、脆弱性を持つサーバに特別に細工したリクエストを送信することでアプリケーションを悪用することができる脆弱性が存在します。この脆弱性自体は、古い脆弱性（CVE-2010-1622）の修正が不完全であることに起因しています。

しかしながら、現時点での分析によると、脆弱だと思われる条件やシナリオは限定的です。

• アプリケーションが、JDK９以上　を利用している。
• サーブレットコンテナとしてApatche Tomcat　を利用している
• Spring Bootの実行可能なjarとしてではなく、従来のWeb Application Resource（WAR）としてパッケージ化されている
• spring-webmvc および spring-webfluxに対する依存性
• Spring Framework 5.3.18未満　及び　5.2.20未満　を利用している。

注意：別の脆弱性であるSpring Cloud（CVE-2022-22963）との混同が多く見受けられますのでご注意ください。
 

本脆弱性への対応

この問題を解決するために、Spring Framework 5.3.18 (5.3x) および 5.2.20 (5.2x) と Spring Boot 2.6.6 および 2.5.12 が、リリースされています。これらのパッチを適用することを強くお勧めします。

また、Springは詳細な回避策についても公開を行っております。
・Spring Framework RCE, Early Announcement
 

トレンドマイクロ製品による脆弱性への対応

トレンドマイクロでは、本脆弱性、およびその悪用に関連するコンポーネントについて検知・防護するルールを提供しています。

Trend Micro Cloud One - Workload Security and Deep Security IPS Rules

• Rule 1011372 - Spring Framework "Spring4Shell" Remote Code Execution Vulnerability (CVE-2022-22965)

Trend Micro Cloud One - Network Security and TippingPoint Filters

• Filter 41108: HTTP: Spring Core Code Execution Vulnerability

Trend Micro Deep Discovery Inspector Network Content Inspection Rules

• Rule 3320: HTTP_SPRING4SHELL_RCE_EXPLOIT_REQUEST_BETA
• Rule 3321: HTTP_POSSIBLE_JAVA_CLASSLOADER_RCE_EXPLOIT_REQUEST_BETA

Trend Micro Cloud One - Open Source Security by Snyk
Trend Micro Cloud One - Open Source Security by Snykを用いることですべての組織のソースコードリポジトリにおいて脆弱なバージョンを特定することができます。 また、インストール後は、脆弱性のないバージョンへのアップデートの進捗を監視することができます。

トレンドマイクロ製品への影響

トレンドマイクロでは、本脆弱性の影響を受ける可能性のある製品・サービスがあるかどうかを調査しています。下記のアドバイザリをご参照ください。

アラート/アドバイザリ：Spring Cloudと Spring Frameworkにおけるリモートコード実行の脆弱性 (CVE-2022-22963、CVE-2022-22965) のトレンドマイクロ製品への影響について
 

参照情報

• Spring Blog: Spring Framework RCE, Early Announcement
• VMware Tanzu Official Disclosure: CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+

更新情報

2022年4月1日　公開
2022年4月14日　影響を受ける製品一覧へのリンクを追記しました。