Spring4Shell 概要

Spring Framework のコアモジュール(Spring Core)によってリモートのコード実行が可能であるという脆弱性が発見されました。2021年12月頃に問題となったApache Log4jの脆弱性(俗称: Log4Shell)を彷彿とさせることからSpring4Shellとも呼ばれています。JDK 9以降にてSpring MVCあるいはSpring WebFluxでアプリケーションを実行している環境に影響があります。データバインディングを介してリモートからコード実行される可能性があります。CVE-2022-22965が採番されており、CVSSv3の深刻度スコアは9.8です。 

Spring4Shell これまでの経緯

3月29日から30日にかけてVMWareに対してこの脆弱性が報告され、VMWareは31日の緊急リリースに向けて対応を急いでいました。30日にGitHubでPoCコードが投稿され脆弱性が一般にも明らかになりました。2021年12月のLog4jの脆弱性(俗称Log4Shell)を彷彿とされることからSpring4Shellと呼ばれ出しました。VMWareからも公式に情報を公開し、この脆弱性に対処したバージョン 5.3.18と5.2.20を公開しました。また、関連するSpringBootに関しても2.6.6と2.5.12を公開しました。その後、31日深夜頃にCVE-2022-22965が採番されています。(CVSSv3スコア9.8) 

解決方法

2022年3月29日、Spring Cloudで新たに3つのCVEが公開されました。CVE-2022-22963、CVE-2022-22946、CVE-2022-22947です。

2022年3月31日、CVE-2010-1622の修正へのバイパスがPraetorianによって公開され、Spring4Shellというニックネームがつけられました（JDK9+上のSpring Coreはリモートコード実行の脆弱性があるを参照）。その後、CVE-2022-22965に割り当てられました。

この脆弱性は、当社のInfinityポートフォリオ（Quantum Gateways、SMART Management、Harmony Endpoint、Harmony Mobile、SMB、ThreatCloud、CloudGuardを含む）に影響しないことを確認しました。

補足：すべてのチェック・ポイントソフトウェアバージョン（サポート対象外を含む）において、本件の脆弱性はありません。また、すべてのアプライアンスにおいても、本件の脆弱性はありません。

IPS保護

チェックポイントは以下のIPS保護をリリースしました。

• Spring Coreのリモートコード実行(CVE-2022-22965)
• Spring Cloud 機能のリモートコード実行 (CVE-2022-22963)

また、攻撃用のペイロードは暗号化または復号化されたトラフィックに含まれる可能性があるため、チェック・ポイントでは HTTPS 検査を有効にすることを推奨します（Security Gateway のプロパティ → HTTPS Inspection ビューを選択します）。

IPSおよびAppSecで脆弱性を保護します。（チェック・ポイントブログ）

本件についての最新情報はsk178605をご参照ください。