(1) 概要
2022年3月31日(現地時間)、VMwareはSpring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)に関する情報を公開しました。Spring Frameworkは、JavaのWebアプリ開発を行うためのフレームワークの1つです。本脆弱性が悪用された場合、遠隔の第三者が任意のコードを実行する可能性があります。
VMwareは、本脆弱性に関する報告を受け取った後、調査および修正対応中に脆弱性の詳細が公開されたと明らかにしています。JPCERT/CCは、本脆弱性を実証するとみられるコードや詳細を解説する記事がすでに複数公開されている状況を確認していますが、現時点では具体的な被害事例や報告は確認していません。
本脆弱性の影響を受ける環境には条件があり、今後も追加情報が公開される可能性があります。引き続き、VMwareなどからの情報に注視いただきながら、影響を受けるシステムやアプリを利用している場合には、対策や回避策の適用を検討することを推奨します。詳細は、VMwareなどが提供する情報を参照してください。
VMware
Spring Framework RCE, Early Announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
(2) 対象
対象となる製品とバージョンは次のとおりです。なお、すでにサポートが終了している過去のバージョンにおいても本脆弱性の影響を受けるとのことです。
- Spring Framework 5.3.0から5.3.17
- Spring Framework 5.2.0から5.2.19
VMWareによると、同社に報告された攻撃シナリオにおいては、攻撃が成功するためには次の条件が必要だったとのことです。ただし、本脆弱性の影響を受ける条件は他にも存在する可能性があると示唆されており、今後公開される情報を注視する必要があります。
- JDK 9以上を使用している
- Apache Tomcatをサーブレットコンテナーとして使用している
- WAR形式でデプロイされている
- プログラムがspring-webmvcあるいはspring-webfluxに依存している
VMware
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
https://tanzu.vmware.com/security/cve-2022-22965
(3) 対策
VMwareより、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンを適用することを推奨します。
- Spring Framework 5.3.18およびそれ以降
- Spring Framework 5.2.20およびそれ以降
(4) 回避策
VMwareより、対策の適用が難しい場合の回避策に関する情報が公開されています。詳細および最新の情報については、VMwareが提供する情報を参照ください。
VMware
Spring Framework RCE, Early Announcement - Suggested Workarounds
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#suggested-workarounds
(5) 関連情報
2022年3月29日、VMwareがSpring Cloud Functionの任意のコード実行の脆弱性(CVE-2022-22963)に関する情報を公開しています。この脆弱性は、Spring Frameworkの脆弱性(CVE-2022-22965)とは別の脆弱性です。
Spring Cloud Function 3.1.7あるいは3.2.3より前のバージョンで影響を受け、脆弱性が悪用されると、遠隔の第三者が任意のコードを実行する可能性があります。JPCERT/CCは、本脆弱性を実証するとみられるコードが公開されている状況も確認しています。本脆弱性についても対策適用の検討を推奨します。
VMware
CVE-2022-22963: Remote code execution in Spring Cloud Function by malicious Spring Expression
https://tanzu.vmware.com/security/cve-2022-22963
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp