CVE-2022-22965を検出: Spring Framework RCE の最新情報

[post-views]
4月 05, 2022 · 6 分で読めます
CVE-2022-22965を検出: Spring Framework RCE の最新情報

2022年3月、Java Springフレームワークに新たな脆弱性がいくつか公表されました。これらの欠陥の一つはSpring Coreのコンポーネントに影響を及ぼし、攻撃者がウェブシェルを設置し、リモートコマンド実行(RCE)を可能にします。

2022年4月5日現在、SpringShellの脆弱性は CVE-2022-22965 として追跡され、現在批判的な深刻度であることが確認されています。

CVE-2022-22965 検知

CVE-2022-22965の現在の利用傾向と積極的に広がる可能性を考慮すると、効果的な検知手法を確保することが重要です。以前にリリースされた検知コンテンツに加えて、 検知コンテンツ SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリに関連するCVE-2022-22965に関連し、以下の新たな Sigma ルールは、Java逆シリアル化RCEの試みを示すパターンをHTTPリクエストヘッダー、ボディ、URI、およびクエリ文字列の値を検査します。

AWS 可能性のあるSpring CoreおよびCloud Function RCE脆弱性の試み [CVE-2022-22965, CVE-2022-22963](awswaf経由)

この検知には以下のSIEM、EDR & XDRプラットフォームの翻訳があります:Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB、およびOpen Distro。

このルールは最新版MITRE ATT&CK®フレームワークv.10に準拠しており、

Lateral MovementおよびInitial Accessの戦術が、リモートサービスの利用(T1210)とパブリックフェイシングアプリケーションのエクスプロイト(T1190)という主な技術への対応をしています。

このルールは我々のトップティアのThreat Bounty開発者である Nattatorn Chuensangarun.

によってリリースされました。上記のSigma検知に加えて、優秀な Sittikorn Sangrattanapitak and , もチャレンジを逃しません。

CVE-2022-22965 エクスプロイト試みが検出されました – Snortルール

Spring4Shell経由の潜在的なウェブシェル活動 – Snortルール

Spring4ShellまたはSpringShellとしても知られるCVE-2022-22965に関連する検知コンテンツの更新を、SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリで こちらでフォローしてください。あなたは熟練した脅威検知コンテンツ開発者ですか?世界最大のサイバー防衛コミュニティが提供するThreat Bounty Programの力を活用し、あなたの検知コンテンツを共有し、貴重な入力に対する報酬を継続的に得ましょう。

すべてのコンテンツを見る Threat Bountyに参加する

CVE-2022-22965 エクスプロイト緩和策

CVE-2022-22965の詳細、深刻度、エクスプロイトへの感受性を考慮に入れると、この脆弱性は長期にわたり大きな被害を引き起こす可能性があります。その名前、Spring4Shellは苛烈な Log4Shell、2021年11月24日に初めて報告されたApache Log4jのゼロデイRCE脆弱性を指します。

CVE-2022-22965をうまく利用するには、アプリケーションがTomcatでWARデプロイとして実行される必要があります。そうでない場合、脆弱ではありません。それでも、脆弱性の性質を考えると、エクスプロイトの万能薬ではないとセキュリティ研究者は警告しています。CVE-2022-22965エクスプロイトに対する保護には、Springのバージョンを5.3.18または5.2.20に更新する必要があります。フレームワークのバージョンをアップグレードすることで、SpringアプリケーションでのCVE-2022-22965を修正することができます。

この脆弱性の詳細については、 CVE-2022-22965 分析 2022年3月31日にSOC Primeブログでリリースされたものをご参照ください。

参加 SOC PrimeのDetection as Code プラットフォームに参加して、業界のリーダーが創出した世界最大のライブ検知コンテンツプールへのアクセスを解放しましょう。SOC Primeは、アメリカのボストンに本社を置く国際的な熟練専門家チームに支えられて、協力的なサイバー防衛を可能にしています。攻撃に対抗するために、より容易に、迅速に、そして効率的に、世界のサイバーセキュリティコミュニティとつながり続けましょう。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している 8 分で読めます 最新の脅威 CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している by Daryna Olyniychuk CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 6 分で読めます 最新の脅威 CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 by Daryna Olyniychuk CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に 6 分で読めます 最新の脅威 CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に by Veronika Telychko
すべてのニュース