0xNews - 자바 스프링 프레임워크에서 제로데이 취약점 발견
0xNews - 자바 스프링 프레임워크에서 제로데이 취약점 발견 중국 보안 연구원 최초 발표 https://twitter.com/vxunderground/status/1509170582469943303 이후 praetorian 추가 조사 https://www.praetorian.com/blog/spring-core-jdk9-rce/ 이번에 확인된 취약점은 발표된 현재까지 패치되지 않은 취약점 JDK Java Development Kit 9 이상 스프링 Spring 코어에 영향을 미침 CVE-2010-1622 로 지정된 또 다른 취약점을 우회 인증되지 않은 공격자가 대상 시스템에서 RCE 실행 가능 확인 SpringShell 혹은 Spring4Shell 로 명명 Github 공개된 PoC 정보 공개 https://github.com/tweedge/springcore-0day-en 이번 취약점에 대한 익스플로잇 코드 공개 https://share.vx-underground.org/ 스프링은 Jave EE Enterprise Edition 플랫폼 위에 웹 애플리케이션을 포함하여 자바 애플리케이션을 빌드하기 위한 소프트웨어 프레임워크 이 취약점은 특정 구성에서 악용이 가능 공격자가 취약한 시스템에서 만들어진 HTTP 요청을 발송하기만 하면 공격 성공 가능 하지만 보다 효과적인 추가 공격을 위해서는 이 취약점 외 페이로드를 추가, 연계 해야 함 이번 취약점의 세부 정보는 VMware 자회사이자 프레임워크 유지 관리자인 Spring.io 가 수정 사항 발표 전까지 보류 CVE 식별번호 할당 조치 되지 않음 제로데이 익스플로잇이 된 취약점은 다음 두가지 CVE-2022-22950 지정 자바 스프링 프레임워크 expression DoS 취약점 CVE-2022-22963 지정 자바 스프링 클라우드 expression 리소스 접근 취약점 취약점 관련 보안 패치 전까지 개발자나 관계자는 컨트롤러 간에 공유되는 스프링 구성요소인 ControllerAdvice 구성 요소를 만들고