情資卡編號:TCCY-RCDC-ANA-202204-0065
事件主旨: Spring Core出現零時差遠端程式攻擊弱點,建議請管理者儘速評估更新!
內容說明: Spring是個開源的Java框架,此一受到矚目的安全弱點尚未被賦予編號,因此暫且以SpringShell稱之。
未修補的弱點會影響 Java 開發工具包 ( JDK ) 版本 9 及更高版本上的 Spring Core,並且是繞過另一個被追蹤為CVE-2010-1622 的弱點,使未經身份驗證的攻擊者能夠在目標系統上執行任意程式碼。
該零時差弱點利用的弱點與本週在應用程式框架中披露的兩個弱點不同,包括Spring Framework expressionDoS 弱點(CVE-2022-22950)和Spring Cloud expression資源訪問弱點(CVE-2022-22963)。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
風險等級: 3
建議措施: Spring團隊在BST時區3月31日下午,緊急釋出早期更新修補,並發布資安通告,呼籲用戶盡速更新。
(1)VMware Spring Framework 5.3.17+(或之後版本)
(2)VMware Spring Framework 5.2.20+(或之後版本)
(3)VMware Spring Cloud Function 3.1.7(或之後版本)
(4)VMware Spring Cloud Function 3.2.3(或之後版本)
(5)Spring框架5.3.18、5.2.20(或之後版本)
(6)Spring Boot 2.6.6、2.5.12(或之後版本)