簡述
來自微軟的威脅情報團隊表示，微軟會定期追蹤針對其雲基礎架構及服務的攻擊，以進行更好的防禦。而自 Spring4Shell 漏洞被揭露以來，微軟便偵測到針對 Spring Cloud 及 Spring Core 漏洞的利用嘗試。不過微軟表示，目前認為捕捉到對企業安全的影響，也沒有發生任何此漏洞所造成的的服務可用性下降。

IT 管理員可使用這個非惡意命令檢查其伺服器是否容易受到 Spring4Shell 的攻擊。
curl host:port/path?class.module.classLoader.URLs%5B0%5D=0
 

Spring4Shell
Spring 是 Java 平台上一個開源的應用程式框架。2022 年 3 月 29 日，一個針對其平台的遠端代碼執行漏洞（RCE）被揭露，漏洞編號 CVE-2022-22965，被命名為 Spring4Shell，並且針對其的概念性驗證攻擊程式（PoC）也已釋出。

 

易受攻擊的應用程序
-使用 JDK 9 或更高的版本

-將 Apache Tomcat 作為 servlet 容器

-被打包成傳統的 WAR（與 Spring Boot 可執行 jar 相比）

-使用 spring-webmvc 或 spring-webflux

-使用 Spring 框架版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 或更早的版本

 

極高的漏洞攻擊嘗試
美國網絡安全和基礎設施安全局 (CISA) 已將此漏洞添加到其已知已利用漏洞目錄。而週二 Check Point 發佈的報告估計，針對 CVE-2022-22965 的攻擊嘗試被偵測到 3.7 萬次，全球約有 16% 的組織受到影響，單就軟體業者便占了28%。

 

 

盡速修補
Spring 目前已釋出 Spring Framework 5.3.18 和 Spring Framework 5.2.20 來修補該漏洞，若無法立即更新，用戶也應升級到 Apache Tomcat 10.0.20、9.0.62 以及 8.5.78 來解決既有概念性驗證程式的濫用，或是降級至 Java 8，和關閉特定欄位的綁定功能。但是，CVE-2022-22965 漏洞可能有其它的開採方式，使用者應儘速升級至 Spring Framework。

 

參考資料：
https://www.ithome.com.tw/news/150275
https://www.ithome.com.tw/news/150201
https://www.bleepingcomputer.com/news/security/microsoft-detects-spring4shell-attacks-across-its-cloud-services/