CVE-2022-22965 식별: Spring 프레임워크 RCE 업데이트
목차:
2022년 3월, Java Spring 프레임워크에서 여러 새로운 취약점이 공개되었습니다. 이 결함 중 하나는 Spring Core의 구성 요소에 영향을 미쳐 공격자가 웹셸을 설치하고 원격 명령 실행(RCE)을 허용합니다.
2022년 4월 5일 기준, SpringShell 취약점은 CVE-2022-22965 의 치명적 심각성으로 확인되었습니다.
CVE-2022-22965 탐지
CVE-2022-22965의 현재 이용 경향과 광범위하게 퍼질 가능성을 고려하여 효율적인 탐지 접근법을 보장하는 것이 중요합니다. 이전에 출시된 탐지 콘텐츠 에 추가하여 SOC Prime 플랫폼의 Threat Detection Marketplace 저장소에 있는 CVE-2022-22965 관련 다음과 같은 새로운 Sigma 룰은 Java 역직렬화 RCE 시도를 나타내는 패턴을 위해 공통 HTTP 요청 헤더, 본문, URI, 쿼리 문자열의 값을 검사합니다:
AWS 가능성 있는 Spring Core 및 Cloud Function RCE 취약점 시도 [CVE-2022-22965,CVE-2022-22963] (awswaf 이용)
이 탐지는 다음 SIEM, EDR & XDR 플랫폼에 대한 번역이 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, 및 Open Distro.
이 룰은 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰 정렬되며,
원격 서비스의 이용 (T1210) 및 공개-대상 애플리케이션의 이용 (T1190)을 주요 기술로 하여 측면 이동 및 초기 접근 전술을 주소 지정합니다.
이 룰은 우리 최상위 등급의 Threat Bounty 개발자인 Nattatorn Chuensangarun.
에 의해 릴리스되었습니다. 위의 Sigma 탐지 외에, 재능 있는 Sittikorn Sangrattanapitak and 과 같은 사람들에게서 공개된 Snort 룰을 활용할 수 있습니다., 잘못을 놓치지 않는 사람들:
CVE-2022-22965 이용 시도 탐지 – Snort 룰
Spring4Shell을 통한 잠재적인 웹셸 활동 – Snort 룰
SOC Prime 플랫폼의 Threat Detection Marketplace 저장소에서 CVE-2022-22965 (aka Spring4Shell 또는 SpringShell) 관련 탐지 콘텐츠의 업데이트를 여기에서 팔로우하세요. 위협 탐지 콘텐츠 개발 경험이 있는 개발자입니까? Threat Bounty Program이 지원하는 세계 최대 사이버 방어 커뮤니티의 힘을 활용하고, 탐지 콘텐츠를 공유하며, 귀중한 입력에 대해 반복적인 보상을 받으세요.
CVE-2022-22965 이용 완화
CVE-2022-22965의 세부 정보, 심각성 및 익스플로잇에 대한 취약성을 고려할 때, 이 취약점은 장기적으로 큰 손해를 일으킬 수 있는 자격이 있습니다. 그 별명인 Spring4Shell조차 가혹한 Log4Shell을 참조합니다. Apache Log4j의 0일 RCE 취약점은 2021년 11월 24일 처음 보고되었습니다.
CVE-2022-22965를 성공적으로 익스플로잇하려면 애플리케이션이 Tomcat에서 WAR 배포로 실행되어야 합니다. 그렇지 않으면 취약하지 않습니다. 그러나 보안 연구원들은 해당 취약점의 특성을 고려할 때 익스플로잇에 대한 만병통치약이 아니라고 경고합니다. CVE-2022-22965 익스플로잇에 대한 보호는 사용자가 Spring 버전을 5.3.18 또는 5.2.20으로 업데이트하는 것을 요구합니다. 프레임워크 버전을 업그레이드하는 것만으로 Spring 애플리케이션에서 CVE-2022-22965를 패치하기에 충분합니다.
이 취약점에 대한 자세한 내용은 CVE-2022-22965 분석 을 2022년 3월 31일 SOC Prime 블로그에서 참조하세요.
에 가입하여SOC Prime의 Detection as Code플랫폼에 가입하여 업계 리더가 만든 세계 최대의 라이브 탐지 콘텐츠 풀에 대한 액세스를 잠금 해제하세요.SOC Prime, 미국 보스턴에 본사를 두고 있으며, 협력적인 사이버 방어를 가능하게 하는 노련한 전문가 팀이 지원합니다. 글로벌 사이버 보안 커뮤니티와 연결되어 공격에 더 쉽고 빠르게, 그리고 효율적으로 저항하세요.
