※本記事の内容は、2022年4月5日現在の公開情報をもとに記載しております。お使いの製品でIPS機能等が利用できるライセンスであるか、シグネチャ等のアップデート方法や具体的な検知・防御の設定方法については購入元の代理店様や運用・保守ベンダー様へお問い合わせください。
目次
Spring4shell/SpringShellの脆弱性についての概要
Spring4Shell/SpringShellは、SpringというオープンソースのJavaのフレームワークにおける、リモートからのコード実行が行われる可能性のある脆弱性です。
公式からの発表
Spring Framework RCE, Early Announcement
JPCERT/CCの脆弱性情報
Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について
各UTM/IPS/WAF/ファイアウォールの対応状況について
根本的な対策としては、本脆弱性を修正したバージョンへの更新となりますが、脆弱性の緩和策、一時的な対策として各UTM/IPS/WAF/ファイアウォール等での防御も有効であると考えており、当グループ調査に基づく各メーカの対応状況をまとめました。
※SSL/TLS通信内における検知・防御には復号化も併せて行う必要があります。
Palo Alto Networks
Palo Alto Networks社の対応状況は以下の通りです。
- PaloAltoNetworks社製品への影響
- CVE-2022-22963 Informational: Impact of Spring Vulnerabilities CVE-2022-22963 and CVE-2022-22965
- Palo Alto Networks社の製品およびサービスは(2022/04/05現在)当脆弱性の影響を受けないことが同社より報告されています。対象製品・サービス群については上記リンクをご参照ください。
- 対応するシグネチャ(今後追加される可能性があります。)
- Spring Core Remote Code Execution Vulnerability(シグネチャID:92393, 92394)
Applications and Threatsのコンテンツ8548 (2022/03/30リリース)以降で対応
- Spring Core Remote Code Execution Vulnerability(シグネチャID:92393, 92394)
- 調査記事など
CVE-2022-22965: Spring Core Remote Code Execution Vulnerability Exploited In the Wild (SpringShell)
かなり詳しく脆弱性について解説されています。
Fortinet
Fortinet社の対応状況は以下の通りです。
- Fortinet社製品への影響
- CVE-2022-22965 and CVE-2022-22963 vulnerabilities
2022/04/05現在一部調査中の製品がありますが、FortiOSについては現時点で影響を受けないとされています。-
2022/04/07現在 次の製品は現在調査中です 。
FortiCASBFortiSOAR - 2022/04/07現在 次の製品は影響を受けません。
FortiOS FortiManager FortiAnalyzer FortiIsolator FortiMail FortiNDR FortiClientWindows FortiClientLinux FortiClientMac FortiClientEMS FortiClientAndroid FortiADC FortiAuthenticator FortiAP FortiAP-C FortiAP-S FortiAP-U FortiAP-W2 FortiDeceptor FortiDDoS FortiDDoS-F FortiExtend
- Spring.Framework.SerializationUtils.Insecure.Deserialization(シグネチャID:51352)
- IPS 20.287(2022/03/30リリース)以降で対応
- IPS機能はFortiGate、FortiADC、FortiProxy等で対応。
- IPS 20.287(2022/03/30リリース)以降で対応
- CVE-2022-22965 and CVE-2022-22963 vulnerabilities
- 調査記事など
-
- Spring4Shell Vulnerability
- Fortinet社のOutbreak Alerts。
- Spring4Shell Vulnerability
-
F5 Networks
F5 Networks社の対応状況は以下の通りです。
- F5 Networks社製品への影響
- K11510688: Spring Framework (Spring4Shell) and Spring Cloud vulnerabilities CVE-2022-22965, CVE-2022-22950, and CVE-2022-22963
2022/04/05現在では、脆弱性の影響の有無については調査中の製品が多くあります。- 2022/04/07現在では、脆弱性の影響ありません。
- K11510688: Spring Framework (Spring4Shell) and Spring Cloud vulnerabilities CVE-2022-22965, CVE-2022-22950, and CVE-2022-22963
- 対応するシグネチャ(今後順次追加される可能性があります。)
- K24912123: Mitigate the Spring Framework (Spring4Shell) and Spring Cloud vulnerabilities with the BIG-IP system
- シグネチャID: 200003437, 200003438, 200003439, 200003443, 200003444, 200003445, 200004161, 200004453, 200104262, 200104263, 200104796, 200104797, 200104798, 200104799
- K24912123: Mitigate the Spring Framework (Spring4Shell) and Spring Cloud vulnerabilities with the BIG-IP system
- 調査記事など
SonicWall
SonicWall社の対応状況は以下の通りです。
- SonicWall社製品への影響
- SPRING REMOTE CODE EXECUTION: CVE-2022-22963 AND CVE-2022-22965
- 2022/04/05現在では影響を受ける製品はないとされています。
- 対応するシグネチャ(今後順次追加される可能性があります。)
- 2022/04/05現在、当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
※すでに実機上には配信されている可能性もあります。
- 2022/04/05現在、当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
- SPRING REMOTE CODE EXECUTION: CVE-2022-22963 AND CVE-2022-22965
WatchGuard Technologies
WatchGuard Technologies社の対応状況は以下の通りです。
- WatchGuard Technologies社製品への影響
- 2022/04/05現在、当グループ調査の範囲では、公開情報は確認出来ませんでした。
- 対応するシグネチャ(今後順次追加される可能性があります。)
- 2022/04/05現在、当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
※すでに実機上には配信されている可能性もあります。
- 2022/04/05現在、当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
A10 Networks
A10 Networks社の対応状況は以下の通りです。
- A10 Networks社製品への影響
- 2022/04/05現在、当グループ調査の範囲では、公開情報は確認出来ませんでした。
- 対応するシグネチャ(今後順次追加される可能性があります。)
- 2022/04/05現在、当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
※すでに実機上には配信されている可能性もあります。
- 2022/04/05現在、当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
最後に
根本的な対策は、Spring Framework 5.3.18および5.2.20以降に更新することになります。それが困難な場合の回避策についても公式サイトにて案内されています。
【更新履歴】
2022/04/05 新規公開
2022/04/07 Fortinet社、F5社の情報を更新
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。