1. ホーム
  2. ニュース
  3. Spring FrameworkとSpring Cloud Functionの脆弱性について

Spring FrameworkとSpring Cloud Functionの脆弱性について

セキュリティ 2022.5.26

2022年3月末に相次いで、Javaアプリケーションフレームワーク「Spring」に関連する脆弱性が公開されました。
情報の公開から1か月以上経過した現在でもこの脆弱性を悪用するサイバー攻撃は依然として続いており、e-Gateセンターでも本脆弱性を悪用した攻撃を観測しております。
今回はこの脆弱性の詳細、攻撃手法と最新の動向について紹介いたします。

このニュースはこちらよりPDFファイルにてご覧いただくことができます。


1. 概要

 2022年3月末に相次いで、Javaアプリケーションフレームワーク「Spring」に関連する脆弱性が公開されました。
 情報の公開から1か月以上経過した現在でもこの脆弱性を悪用するサイバー攻撃は依然として続いており、e-Gateセンターでも本脆弱性を悪用した攻撃を観測しております。
 今回はこの脆弱性の詳細、攻撃手法と最新の動向について紹介いたします。


2. 脅威の詳細

 2022年3月29日から3月31日に相次いで、オープンソースのJavaアプリケーションフレームワークである「Spring」の異なるコンポーネントに存在する2つの重大な脆弱性(CVE-2022-22963およびCVE-2022-22965)が公開されました。どちらの脆弱性も、攻撃者が特定のHTTPリクエストを介して、リモートでコードを実行する可能性があり、CVSSv3(※1)は10点満点中9.8点と評価されています。これらの脆弱性は、サーバ上の幅広いサービスやアプリケーションに影響するため、迅速な対策が必要となります。当脆弱性はすでに修正バージョンが更改されているため、影響を受けるユーザーは迅速にアップグレードする必要があります。詳細については以下に記載する表1をご覧ください。
 また、この2つの脆弱性は異なるコンポーネントに対するそれぞれ異なる脆弱性である点にご注意ください。

 (1)CVE-2022-22963
 「Spring」のサーバレス実行環境である「Spring Cloud Function」における脆弱性で、SpEL脆弱性とも呼ばれます。ルーティング機能を有効にしている場合に、リモートの攻撃者が特定の細工した「SpEL(Spring Expression Language)」を使用してサーバ上でコードを実行することができます。攻撃が成功するとローカル環境にあるリソースへアクセスされるおそれがあります。

 (2)CVE-2022-22965
 「Spring」の主要なコンポーネントの1つでフレームワークの中核となる「Spring Core」における脆弱性で、SpringShell またはApache Log4jの脆弱性にちなんでSpring4shellとも呼ばれます。JDK 9(Java 9)以降で実行されているSpring MVCまたはSpring WebFluxアプリケーションに影響があり、リモートの攻撃者がデータバインディング(※2)を介してコードを実行することができます。攻撃が成功すると侵害されたサーバにウェブシェル(※3)がインストールされ、さらにコマンド実行されるおそれがあります。


【表1】Springに見つかった2つの脆弱性

 2021年末に発生し注目を集めたオープンソースのApache Log4jの脆弱性問題につづき、同じくオープンソースのフレームワークである「Spring」に危険度の高い脆弱性が報告されました。オープンソースソフトウェア(以降はOSSと記載)は、開発スピード向上などの目的で広く活用されており、日々使用しているソフトウェアのあらゆる部分に密接に組み込まれているためセキュリティ対策が不可欠です。
 システムで利用しているOSSを把握し、脆弱性情報が公開されていないか常に最新の情報に注視する必要があります。
 特に利用しているOSのバージョンを正しく管理し、脆弱性が発覚した場合は適宜バージョンアップを行うなど迅速な対応が求められます。

 ※1:CVSSv3とは、共通脆弱性評価システムといい、基本評価基準・現状評価基準・環境評価基準の3つの基準でIT製品のセキュリティ脆弱性の深刻さを評価した値です。情報システムの脆弱性に対するオープンで汎用的な評価手法で、0.0~10.0の範囲(値が大きいほど深刻)で深刻度をスコア化しています。
 ※2:データバインディングとは、アプリケーションのユーザインタフェースと、データソースとの間の接続を確立する処理のことです。データが変更されると自動的に「バインド」されているもう一方にも反映されます。
 ※3:ウェブシェルとは、Webサーバに対して任意のコマンドの実行を可能にするバックドアの1種です。攻撃者は対象のサーバにウェブシェルをインストールすることにより、サーバを遠隔で操作することができます。


3. 最新動向

 本脆弱性が公開されて以降、悪用を試みる攻撃が多数報告されています。中でも、CVE-2022-22965の脆弱性を悪用する攻撃の試行が活発となっています。
 トレンドマイクロは、本脆弱性を悪用してサーバに「Mirai」を感染させる攻撃がみられたと報告しています。「Mirai」は2016年以来長く続いている脅威で、WebカメラやルーターなどのIoT機器を標的とするマルウェアです。感染したIoT機器を使って巨大な「ボットネット」を形成しそのボットネットに指示を出すことでDDoS攻撃を行います。
 また、同脆弱性を悪用し、仮想通貨をマイニングするマルウェア「コインマイナー」に感染させる攻撃事例も確認されています。コインマイナーに感染するとマイニング処理のためにCPUなどのリソースを使われてしまうため端末の処理能力が低下し、過負荷によりシャットダウンしてしまうケースもあります。


4. e-Gateセンターにおける攻撃検知の推移

 e-Gate センターでは 「Spring」の脆弱性をついた攻撃を観測しております。脆弱性が公開されてから4月27日にかけての大幅な増加は収束していますが、特にCVE-2022-22965に関連するイベントに関しては依然として高い検知量を維持しています。前述の通り、この脆弱性を悪用しマルウェアへの感染を試みる攻撃も報告されており、今後しばらくは高水準の検知量が継続すると予想されるため警戒が必要です。実際の推移観測結果が図1となります。


【図1】e-Gateセンターにおける攻撃イベント数の推移
(3/31-4/6の期間の「CVE-2022-22963」に関連するイベント検知数を100%として算出)


5. 参考情報

・TrendMicro
 Spring4Shell(CVE-2022-22965)を悪用したボットネット「Mirai」の攻撃を観測
 https://blog.trendmicro.co.jp/archives/31044
 Spring4Shell(CVE-2022-22965)を悪用したコインマイナーの攻撃を観測
 https://blog.trendmicro.co.jp/archives/31203
・VMware
 CVE-2022-22963: Remote code execution in Spring Cloud Function by malicious Spring Expression
 https://tanzu.vmware.com/security/cve-2022-22963
 Spring Framework RCE, Early Announcement
 https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement


6. e-Gateの監視サービスについて

 e-Gateのセキュリティ機器運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行い、通信が攻撃かどうかの分析、判断をして、セキュリティインシデント発生時に適切に対処できるようにすることが重要です。e-Gateのセキュリティ監視サービスをご活用いただきますと、迅速なセキュリティインシデント対応が可能となります。
 また、e-Gateの脆弱性診断サービスでは、お客様のシステムにて潜在する脆弱性を診断し、検出されたリスクへの対策をご提案させていただいております。
 監視サービスや脆弱性診断サービスをご活用いただきますと、セキュリティインシデントの発生を予防、また発生時にも迅速な対処が可能なため、対策コストや被害を抑えることができます。

■総合セキュリティサービス 「e-Gate」
 SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきた「IT運用のノウハウ」と最新のメソッドで構築した「次世代SOC“e-Gateセンター”」。この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの“e-Gate”サービスです。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】
https://www.ssk-kan.co.jp/wp/e-gate/


※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫
サービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp