Spring4Shellとは
2022年3月31日に、Sprig Frameworkの脆弱性(CVE-2022-22965) が公表されました。リモートからのコード実行が可能です。脆弱性の深刻度を表すスコアCVSSv3は9.8と緊急レベルであり、「Spring4Shell」と呼ばれています。また、Spring Frameworkは、JavaのWebアプリ開発に利用される主要なフレームワークで多くのWebサイトで利用されています。影響を受ける各プロダクトでリリースされている、 対策済みバージョンを適用する事で対策が可能です。
現在の被害状況
2021年12月に、Apache log4jの非常に深刻な脆弱性「Log4Shell」が公表され、各所で悪用され大きな被害が発生したことが記憶に新しいですが、今のところ、Spring4Shellが悪用されるには複数の条件を満たす必要があり、Log4Shellと比較し悪用が難しいため、目立った被害は報告されていません。しかし今後、新たな悪用条件が発見される可能が残っており、引き続き、新たな情報に注意する必要があります。
[悪用条件]
- ・Spring Framework 5.3.0から5.3.17
- ・Spring Framework 5.2.0から5.2.19
- ※サポート終了バージョンも影響を受けます
- ・JDK 9以上を使用している
- ・Apache Tomcatをサーブレットコンテナーとして使用している
- ・WAR形式でデプロイされている
- ・プログラムがspring-webmvcあるいはspring-webfluxに依存している
- 参照先:https://www.jpcert.or.jp/newsflash/2022040101.html
今後の注意点
Spring4Shellは、リモートコード実行が可能な危険な脆弱性のため、脆弱性を放置すると以下のような甚大な被害が想定されます。
仮に、悪用条件に合致している場合は、既に被害を受けている可能性も否定できませんので、先ずは、ご自身のサイトが上記の悪用条件に合致しているかを判断する事が重要です。
これらの条件は、Webシステムの設計・実装に関する部分であるため、ある程度の専門的な知識が要求されます。サイトの運用者や管理者で判断が難しい場合は、Webサイト構築担当者や委託先等への確認も必要となります。
[想定される被害]
- ・バックドア・ボット化(攻撃者から遠隔操作され他者への攻撃拠点となる等)
- ・サーバ上の機密情報の窃取
- ・ランサムウェアによるファイル暗号化・身代金要求
セキュアブレインが提供する、Webサイト自動脆弱性診断サービス「GRED Webセキュリティ診断 Cloud」では、このような脆弱性リスクの判断にWebシステムの専門的な知識を必要とする場合でも、お客様のWebサイトをインターネット経由で自動診断しリスクを判断することが可能です。Spring4Shellの検知機能については、今後無償トライアルサービスでも提供をする予定ですので、リスクの判断にお困りの方はご利用下さい。
セキュアブレイン製品のお問い合わせは以下よりお願いします。
https://www.securebrain.co.jp/form/service/inquiry_input.html
