Log4Shell安全事件依然让人惊魂未定、心有余悸，刚刚把JAVA JDK升级到9版本修复了Log4Shell隐患，紧接着Spring Framework又爆出了惊天漏洞，让不法分子可以在远程对目标主机恣意执行恶意代码，再次燃爆了全球的安全圈！

 

 

所有使用了Spring Framework或其衍生的框架，并且JDK版本在9以上的用户，都受到此漏洞的影响。

 

二、漏洞利用手法

 

Spring 是一个开源框架，是为了解决企业应用程序开发复杂性而创建的。框架的主要优势之一就是其分层架构，分层架构允许您选择使用哪一个组件，同时为 J2EE 应用程序开发提供集成的框架。Spring使用基本的JavaBean来完成以前只可能由EJB完成的事情。任何 Java 应用都可以从 Spring 中受益。Spring 的核心是控制反转（IoC）和面向切面（AOP）。简单来说，Spring 是一个分层的 JavaSE/EE full-stack(一站式) 轻量级开源框架。其主要特点是：

1、轻量级：与EJB对比，依赖资源少，销毁的资源少。

2、一站式，每一个层都提供的解决方案

 

 

JDK 9+代码导致的漏洞，攻击成本非常低，只要在HTTP POST请求净负荷的某个JAVA类中带上期望执行的程序，就可以在远程执行，以下是RCE的一个例子，在远程控制执行目标主机的计算器程式，想象如果执行的是恶意代码，或者恶意执行系统程序，给用户带来的巨大损失可想而知！

 

数据来源：

https://twitter.com/80vul/status/1508811365376729088/photo/1

 

 

三、解决方案

 

 

到目前为止，Spring官方暂未公布新版本及漏洞补丁，建议使用以下方法做临时防护，同时密切关注官方版本更新，确保及时升级版本彻底解决该远程代码执行漏洞。

1、调整WAF策略

在WAF中加载防护策略拦截攻击对漏洞的利用，该策略对HTTP POST Body参数名中出现的以下字串进行拦截：class.* | Class.* | *.class.* | *.Class.*。

雅客云云原生WAF支持两种部署模式：Ingress和Sidecar方式。对于此漏洞的防护，我们建议采用Sidecar WAF的部署模式，只针对带有此漏洞的应用容器进行拦截防护。

 

 

Sidecar WAF：

采用Sidecar（边车）设计模式，为需要防护的应用容器组加载Sidecar-WAF容器。Sidecar模式是一种将应用功能从应用本身剥离出来作为单独进程的方式。该模式允许我们向应用无侵入添加多种功能，避免了为满足第三方组件需求而向应用添加额外的配置代码。

Sidecar-WAF与主应用是松耦合的，将Sidecar附加到主应用上，主应用无需设计开发与安全相关的代码，就可以达到扩展和增强安全防护的目的。每个应用级WAF都拥有独立的规则集，有针对性的配置检测规则，可以有效的提升检测效率。另外，轻量级边车模式的WAF支持旁路部署，监听分析流量，对异常流量触发出告警，可与前端安全设备互动动态加载策略。

 

Ingress WAF：

基于Kubernetes Ingress设计模式，设计开发了Ingress-WAF。Ingress 意味着入口。Kubernetes Ingress 引导外部流量到 Ingress Controller ，Ingress Controller 是集群里的一个 L7负载均衡器（Ingress-WAF）。Ingress Controller 会基于Ingress的声明实现动态配置。

Ingress-WAF由waf-ingress-controller和waf-ingress两部分组成。通过部署Ingress-WAF，业务流量会先经过Ingress-WAF，根据用户定义的规则进行匹配过滤，决定是否要转发到实际的WEB服务。

 

2、调整应用参数

在有漏洞的应用中全局搜索@InitBinder注解, 判断方法体内是否有调用dataBinder.setDisallowedFields方法, 一旦发现有此调用,则在原来的黑名单中添加{"class.*","Class. *","*. class.*", "*.Class.*"}。以临时规避该问题。

 

 

四、雅客云的思考

 

 

近期我们看到云原生安全漏洞频出，云原生全新架构暴露出来的安全隐患不容忽视。Solarwinds供应链攻击、Spotify凭据填充攻击、REvil 勒索软件攻击、Log4Shell等等，重创了企业的生产体系，云原生架构暴露出来的供应链风险，运行环境的新隐患，微服务应用的漏洞等等，并不是依靠拼凑碎片化的安全单品可以解决的问题，而是需要全新的一体化云原生安全网格去支撑去解决。

 

 

五、关于雅客云

 

 

雅客云（ArkSec)是一家专注云原生安全领域，从云端到边缘，持续探索、研发革命性技术，致力于突破产业变革的高科技公司。

 

雅客云诞生于云原生技术架构和设计思想对安全带来巨大变革前际，公司总部位于首都北京。

 

我们团队的核心成员来自硅谷和以色列多家领先的信息安全、基础架构公司，共同打造了基于云原生技术架构和设计理念的云原生安全全栈产品和服务为主的技术驱动型高新技术企业。

 

我们是一群热衷于技术研发的极客、营销专家和发烧友，对未来充满无限创意、梦想和激情。“进无止境”是我们所倡导的品牌文化，号召属于这个时代的人，勇于创新，敢于创造！

 

未来我们将继续用前瞻性的眼光去定义市场，并愿意拥抱大胆有趣的产品理念，为用户创造更多的惊喜与价值！

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！