セキュリティブログ

【Spring Framework/脆弱性】Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について

2022.04.02

※Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について/2022年4月1日/JPCERT

(1) 概要

2022年3月31日(現地時間)、VMwareはSpring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)に関する情報を公開しました。Spring Frameworkは、JavaのWebアプリ開発を行うためのフレームワークの1つです。本脆弱性が悪用された場合、遠隔の第三者が任意のコードを実行する可能性があります。

VMwareは、本脆弱性に関する報告を受け取った後、調査および修正対応中に脆弱性の詳細が公開されたと明らかにしています。JPCERT/CCは、本脆弱性を実証するとみられるコードや詳細を解説する記事がすでに複数公開されている状況を確認していますが、現時点では具体的な被害事例や報告は確認していません。

本脆弱性の影響を受ける環境には条件があり、今後も追加情報が公開される可能性があります。引き続き、VMwareなどからの情報に注視いただきながら、影響を受けるシステムやアプリを利用している場合には、対策や回避策の適用を検討することを推奨します。詳細は、VMwareなどが提供する情報を参照してください。

VMware
Spring Framework RCE, Early Announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

(2) 対象

対象となる製品とバージョンは次のとおりです。なお、すでにサポートが終了している過去のバージョンにおいても本脆弱性の影響を受けるとのことです。

  • Spring Framework 5.3.0から5.3.17
  • Spring Framework 5.2.0から5.2.19

VMWareによると、同社に報告された攻撃シナリオにおいては、攻撃が成功するためには次の条件が必要だったとのことです。ただし、本脆弱性の影響を受ける条件は他にも存在する可能性があると示唆されており、今後公開される情報を注視する必要があります。

  • JDK 9以上を使用している
  • Apache Tomcatをサーブレットコンテナーとして使用している
  • WAR形式でデプロイされている
  • プログラムがspring-webmvcあるいはspring-webfluxに依存している

VMware
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
https://tanzu.vmware.com/security/cve-2022-22965

(3) 対策

VMwareより、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンを適用することを推奨します。

  • Spring Framework 5.3.18およびそれ以降
  • Spring Framework 5.2.20およびそれ以降

※脆弱性情報引用ここまで

以下、piyologさんでも記事が上がっております。

※ Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた/2022年3月31日/piyolog

脆弱性情報の発表がありました。ご注意ください。

上記サイト内「特に注意すべき環境」に、「WAF等のセキュリティ対策製品を利用していない」が挙げられております。

イージスは最新の脆弱性や攻撃手法にいち早く対応します。

突然の脆弱性公開にも慌てず対応するために、まだWAFを導入されていない企業様には、イージスを導入頂きたいと思料するものです。