Facebook Google Plus Twitter LinkedIn YouTube RSS メニュー 検索 出典 - ブログ 出典 - ウェビナー出典 - レポート出典 - イベントicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

Spring Framework におけるリモートコード実行の脆弱性 (Spring4Shell) に関するよくある質問

Satnam Narang
March 30, 2022 • 6 Min Read
by Satnam Narang 
Blog Home / Cyber Exposure Alerts

Spring4Shell (CVE-2022-22965) に関するよくある質問

Update April 13: Updated the Identifying affected systems section with the recent addition of a remote direct check plugin for Spring4Shell. For information about our detections, please refer to this post on the Tenable Community.

4 月 1 日更新: Apache Tomcat および Tenable 製品に関するセクションを追加しました。この影響を受けるシステムの特定のセクションを更新し、Tenable 製品カバレッジに関する追加情報を記載しました。

3 月 31 日更新: 修正バージョン、CVE 識別子、脆弱性を悪用する攻撃者が必要とする要件に関する詳細、および Tenable 製品カバレッジに関する情報など、追加の詳細情報を提供しました。

Tenable Research は、Spring4Shell に関連する更新を注意深く確認しています。新しい情報が追加され次第、Tenable 製品カバレッジなどの脆弱性に関する追加の詳細情報と共にこのFAQを更新する予定です。

Spring4Shell に関するよくある質問

Spring4Shell とは何ですか?

Spring4Shell は、Java ベースのエンタープライズアプリケーションのプログラミングおよび構成モデルである Spring Core Framework の、ゼロデイ脆弱性に付けられたニックネームです。

この脆弱性には CVE が割り当てられていますか?

CVE-2022-22965 がこの脆弱性に割り当てられています。

Spring4Shell は Log4Shell と関連性がありますか?

名前は Log4Shell (CVE-2021-44228) に似せて付けられていますが、この 2 つに関連性はありません。

Spring4Shell のパッチはありますか?

3 月 31 日の時点で、Spring Framework のバージョン 5.3.18 および 5.2.20 がリリースされています。Spring の脆弱性に関するアナウンス によると、Spring Boot のバージョン 2.6.6 および 2.5.12 がリリースされています (どちらも Spring Framework 5.3.18 に依存) 。

Spring4Shell の脆弱性はどれくらい深刻ですか?

攻撃者が、脆弱なサーバーに対して特別に細工したリクエストを送ることにより、Spring4Shell を悪用する可能性があります。ただし、元の Log4Shell の脆弱性はデフォルト構成を使用する Log4j2 のすべてのバージョンに対して影響を及ぼす一方で、Spring4Shell の場合は特定の前提条件が必要となります。

Spring によると、脆弱性レポートには次の条件が含まれていました。しかし、アナウンスでは、他にも悪用する方法は存在する可能性があると注意を呼びかけています。したがって現時点は、次に示すリストが必ずしも悪用の前提条件をすべて網羅しているとは限りません。

  • Java Development Kit (JDK) 9 以降
  • サーブレットコンテナとして Apache Tomcat を使用している
  • WAR としてパッケージ化されている
  • spring-webmvc または spring-webflux の依存関係がある
Spring Core Framework のどのバージョンに影響がありますか?

3 月 31 日の時点で、CVE-2022-22965 に対応する Spring バージョン 5.3.18 および 5.2.20 がリリースされています。このブログが更新された時点では、どのバージョンが影響を受けるのかは明示されていませんが、すぐに判明するはずです。判明次第、この記事で情報を更新する予定です。

JDK9 以降と Spring Framework を使用している場合、アプリケーションに脆弱性はありますか?

JDK9 以降と Spring Framework の両方を一緒に使用していたとしても、必ずしも Spring4Shell に対して脆弱性があるとは限りません。攻撃者は、欠陥を悪用するのにアプリケーションを構成する必要があるためです。たとえば Spring は、開発者に対して DataBinder クラスを使用する際は allowedFields プロパティを指定することを推奨しています。このプロパティを指定しない場合、攻撃者が脆弱なアプリケーションに対して Spring4Shell を悪用する可能性があることが研究によって確認されています。

Spring4Shell は CVE-2010-1622 とどのような関係がありますか?

Spring4Shell は、12 年近く前に修正されたと報告されている Spring Core Framework のコードインジェクションの脆弱性、CVE-2010-1622 をバイパスするパッチであることが Praetorian の研究者によって確認されています。この研究者によると、CVE-2010-1622 に対する修正が不完全で昔の欠陥が残っており、これを悪用した侵入経路が存在するとのことです。

Spring4Shell は CVE-2022-22963 と関係がありますか?

これら 2 つの脆弱性は完全に無関係です。CVE-2022-22963 は、関数を介してビジネスロジックを実装するサーバーレスフレームワークである Spring Cloud Function の脆弱性です。CVE-2022-22963 のアドバイザリは 3 月 29 日に公開され 、Spring Cloud Function のパッチが利用可能になっています。

情報開示の時点で Spring4Shell に割り当てられた CVE がなかったことから、Spring4Shell は誤って CVE-2022-22963 に関連付けられていました。

概念実証のエクスプロイトコードはありますか?

あります。Spring4ShellCVE-2022-22963 の両方で、複数の実用的な概念実証 (PoC) エクスプロイトが利用可能です。

Tenable 製品に対して、Spring4Shell または CVE-2022-22963 の影響はありますか?

Spring4Shell (CVE-2022-22965) および CVE-2022-22963 に関する 2022 年 4 月 1 日現在の情報に基づくと、Tenable 製品に対する影響はありません。

Apache Tomcat が前提条件に入っています。パッチは Tomcat チームからすでにリリースされていますか?

すでにリリースされています。CVE-2022-22965 は Spring Framework に存在しますが、Apache Tomcat チームは、「Tomcat 側の攻撃経路を遮断する」ために Tomcat の新しいバージョンをリリースしました。サポートされていないバージョンの Spring Framework が Tomcat と一緒に使用されている場合、これが特に役立ちます。

Tenable には Spring4Shell の製品カバレッジがありますか?

あります。詳細については、以下の「影響を受けるシステムの特定」セクションを参照してください。プラグインの詳細については、Tenable コミュニティのこの投稿を参照してください。

影響を受けているシステムの特定

この脆弱性を特定するための Tenable プラグインのリストはこちらです。

プラグインID 名前 製品 要件
159374 Spring Framework < 5.2.20 / 5.3.x < 5.3.18 Remote Code Execution (CVE-2022-22965) Tenable.io、Tenable.sc、Nessus Paranoid Mode、徹底試験
159542 Spring Framework Spring4Shell (CVE-2022-22965) Tenable.io、Tenable.sc、Nessus Test embedded web servers
113217 Spring Framework < 5.2.20 / 5.3.x < 5.3.18 Remote Code Execution (Spring4Shell) ウェブアプリケーションスキャン なし
98097 Backdoor Detection ウェブアプリケーションスキャン なし
159462 Apache Tomcat 8.x < 8.5.78 Spring4Shell (CVE-2022-22965) Mitigations Tenable.io、Tenable.sc、Nessus なし
159464 Apache Tomcat 9.x < 9.0.62 Spring4Shell (CVE-2022-22965) Mitigations Tenable.io、Tenable.sc、Nessus なし
159463 Apache Tomcat 10.x < 10.0.20 Spring4Shell (CVE-2022-22965) Mitigations Tenable.io、Tenable.sc、Nessus なし

Web Application Scanning のお客様向けに、tomcatwar.jsp シェルファイルを検出できるように Backdoor Detection プラグインを更新しました。Backdoor Detection のスクリプトを使用すると、攻撃者が脆弱性を悪用した際の Web サーバー上の Web バックドアまたは Web シェルを識別できます。

プラグイン ID 159374 の パラノイドおよび徹底試験の要件

Nessus プラグイン ID 159374、「Spring Framework < 5.2.20 / 5.3.x < 5.3.18 Remote Code Execution (CVE-2022-22965)」は、スキャンで有効にするために、スキャンポリシーで Paranoid Mode としても知られている「Show potential false alarms (潜在的な誤検知を表示)」設定を有効にする必要があります。くわえて、「Perform thorough tests (徹底試験を実行)」設定も有効にする必要があります。

また、Paranoid Mode によるスキャンでは、このプラグインのみを有効にすることを推奨します。スキャンポリシーですべてのプラグインが有効になるように構成されている場合、すべての Paranoid のプラグインがスキャンに含まれ、トリガーの数が増加してしまいます。

パラノイドおよび徹底試験モードの有効化

Nessus および Tenable.io の場合、この設定を有効にするには下記を実行します。

  • Assessment (評価) > General (一般) > Accuracy (正確さ) をクリックする
  • 「Show potential false alarms (潜在的な誤検知を表示)」オプションを有効にする
  • 「Perform thorough tests (may disrupt your network or impact scan speed) (徹底試験を実行。ネットワークが混乱したり、スキャン速度に影響を及ぼす可能性があります)」オプションを有効にする

Tenable.sc (旧 SecurityCenter) の場合、この設定を有効にするには下記を実行します。

  • Assessment (評価) > Accuracy (正確さ) をクリック
  • ドロップダウンボックスをクリックして、「Paranoid (more false alarms) (Paranoid (誤検知件数を増やす)」を選択する
  • ドロップダウンボックスをクリックして、「Perform thorough tests (may disrupt your network or impact scan speed) (徹底試験を実行。ネットワークが混乱したり、スキャン速度に影響を及ぼす可能性があります)」を選択する

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。

Satnam Narang

Satnam Narang

Tenable に 2018 年に入社した Satnam は、業界で 15 年以上の経歴があり (M86 Security、Symantec)、フィッシング対策協議会のメンバーとして、全米サイバーセキュリティアライアンス (NCSA) の「SNS ガイド」の編纂に寄与したほか、Twitter では巨大なスパムのボットネットを発見し、Tinderでもスパムボットを最初に報告するなど広く活動してきました。NBC テレビの Nightly News、Entertainment Tonight、また Bloomberg West や、Why Oh Why ポッドキャストに出演しています。

プライベートの時間には... 詩作に励み、ヒップホップも作曲します。音楽は生で聴くのが好きで、3人の姪との時間が楽しみ。フットボールやバスケットボール、ボリウッド映画や音楽、グログー (ベビーヨーダ) がお気に入りです。

関連記事

CVE-2024-21793, CVE-2024-26026: Proof of Concept Available for F5 BIG-IP Next Central Manager Vulnerabilities

May 9, 2024

Researchers disclose multiple vulnerabilities in F5 BIG-IP Next Central Manager and provide proof-of-concept exploit code, which could lead to exposure of hashed passwords.

Satnam Narang

Satnam Narang

Cybersecurity Snapshot: Attackers Pounce on Unpatched Vulns, DBIR Says, as Critical Infrastructure Orgs Benefit from CISA’s Alert Program

May 3, 2024

Verizon’s DBIR found that hackers are having a field day exploiting vulnerabilities to gain initial access. Plus, a CISA program is helping critical infrastructure organizations prevent ransomware attacks. In addition, check out what Tenable’s got planned for RSA Conference 2024. And get the latest on the Change Healthcare breach. And much more!

Juan Perez

Juan Perez

CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor

April 25, 2024

Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.

Satnam Narang

Satnam Narang

Shifting the Paradigm: Why the Cyber Insurance Industry Should Focus on Preventive Security

May 13, 2024

As claims and losses climb, it’s clear that preventive security should be prioritized more when designing a cyber insurance policy. Here’s why preventive security investments are cost effective and can lead to lower premiums.

Ray Komar

Ray Komar

Cybersecurity Snapshot: New Guide Explains How To Assess if Software Is Secure by Design, While NIST Publishes GenAI Risk Framework

May 10, 2024

Is the software your company wants to buy securely designed? A new guide outlines how you can find out. Meanwhile, a new NIST framework can help you assess your GenAI systems’ risks. Plus, a survey shows a big disconnect between AI usage (high) and AI governance (low). And MITRE’s breach post-mortem brims with insights and actionable tips. And much more!

Juan Perez

Juan Perez

CVE-2024-21793, CVE-2024-26026: Proof of Concept Available for F5 BIG-IP Next Central Manager Vulnerabilities

May 9, 2024

Researchers disclose multiple vulnerabilities in F5 BIG-IP Next Central Manager and provide proof-of-concept exploit code, which could lead to exposure of hashed passwords.

Satnam Narang

Satnam Narang

  • Vulnerability Management

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

試用リクエスト送信 お問合せはこちらから

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料でお試し 今すぐ購入

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

今すぐ購入する
既存のライセンスを更新する | リセラーを検索する
無料でお試し 今すぐ購入

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加

今すぐ購入する
既存のライセンスを更新する | リセラーを検索する