发现Quarkus Java框架零日漏洞

在Quarkus的Red Hat版本中发现了一个高度严重的零日漏洞。Quarkus是一个全堆栈、Kubernetes-native Java框架，专门针对Java虚拟机(jvm)和本地编译进行了优化。

跟踪CVE-2022-4116，该漏洞CVSS v3基本评分等级为9.8，可以在开发UI配置编辑器中找到，这很容易受到本地主机驱动攻击，可能导致远程代码执行(RCE)。

反差安全公司的高级应用安全研究员约瑟夫·比顿（Joseph Beeton）表示，利用漏洞相对简单，威胁行为者可以在没有任何特权的情况下完成。

Beeton在周二发布的一份报告中写道:“在为最近的DeepSec大会准备一个关于通过本地主机驱动攻击开发者环境的演讲时，我审查了一些流行的Java框架，看看它们是否容易受到攻击。”

需要明确的是，CVE-2022-4116不会影响生产中运行的服务。它只影响使用Quarkus构建服务的开发人员。如果一个在本地运行Quarkus的开发人员访问了带有恶意JavaScript的网站，那么JavaScript就可以在开发人员的机器上无声地执行代码。

作为他的测试的一部分，比顿创造了一个有效载荷打开系统计算器。然而，该安全专家警告称，静默代码可能会采取更具破坏性的行动。

这可能包括在本地机器上安装键盘记录程序，以捕获到生产系统的登录信息，或使用GitHub令牌修改源代码。

Beeton补充道：“我们不确定Quarkus的Red Hat版本被广泛使用。Quarkus框架在2019年才启动，仍然很年轻，而Spring Boot框架据说要流行得多。” 他谈到了该漏洞的潜在范围。

但值得注意的是，据说Quarkus正变得越来越受欢迎，特别是在Kubernetes使用案例中，因为它易于使用，运行和运行应用程序对硬件资源的需求明显更低。

 Beeton澄清Quarkus团队发布了CVE-2022-4116版本2.14.2.Final和2.13.5.Final长期支持（LTS）的修复程序，要求开发人员UI检查原始标头，以便它只接受包含浏览器设置的特定标头且不可由JavaScript修改的请求。

虽然CVE-2022-4116已经修复，但在其他框架中可能有更多类似的漏洞。幸运的是，有一个解决方案即将出现，它可以在不发现和修复每个脆弱框架的情况下阻止这种攻击向量。

这一发现发生在CrowdStrike安全研究人员发现一个针对易受攻击的Docker和Kubernetes基础设施的加密劫持活动数周后。