今回の解説ニュース

CVE-2022-22965が割り当てられている、任意のJavaコードが実行できるJavaフレームワークの脆弱性について発表されています。通称「Spring4Shell」とも呼ばれている、本脆弱性の内容や、昨年末に公表されたLog4jとの違いについて説明します。

今回の脆弱性は、Java言語でWebアプリケーションなどを作成するために用いられるフレームワーク「Spring Framework」のバージョン5.3.0から5.3.17と、5.2.0から5.2.19に存在しています。攻撃者に脆弱性を悪用されることにより、システム内で任意のJavaコードが実行される可能性があるということです。

対策として、対策済みバージョンとしてリリースされたSpring Framework 5.3.18および5.2.20にアップデートする事が必要です。アップデートが難しい場合の回避策として、Tomcatのアップグレード、Java 8へのダウングレード、使用可能なフィールドの制限が挙げられています。なお、CVE-2022-22963が割り当てられている、Spring Cloud Functionで任意のコードが実行できる脆弱性とは別の脆弱性であるということです。

今回の Spring Framework の脆弱性はどのような影響を及ぼすのか

今回の脆弱性は、システム内で任意のJavaコードが実行される可能性があると言われていますので、システムが乗っ取られたり、マルウェアの感染に悪用されたりする可能性がありますが、攻撃を成功させるためには複数の条件が必要であることが言われています。少し技術的な内容になりますが、できるだけわかりやすく説明します。

一般的に、任意のコードが実行できる脆弱性は、脆弱性の存在しているソフトウェアに割り当てられている権限で、任意の操作ができることになります。今回のCVE-2022-22965では、Spring Frameworkと連携するJavaの実行環境であるTomcatが作成するログの設定をJavaコードで書かれたファイルとして出力するように変更できるため、システム内で任意のJavaコードが実行できることになります。

ただし、今回の脆弱性を悪用するためは「JDK 9以上を使用している」「Apache Tomcatをサーブレットコンテナとして使用している」「WAR形式でデプロイされている」「プログラムがspring-webmvcあるいはspring-webfluxに依存している」ことが必要と言われています。あくまでも現時点での内容であり、他の条件でも攻撃が成功する可能性があるため、今後公開される情報も注視してください。

今回の「Spring4Shell」と、多くの被害を生んだ「Log4Shell」との違いは？

Apache Log4jの脆弱性であるLog4Shellと、今回のSpring Frameworkの脆弱性であるSpring4Shellは、内容も影響も異なる脆弱性です。さらに技術的な内容になりますが、頑張って最後まで読んでください。

2021年末に多くの被害を生んだ Log4Shell

CVE-2021-44228が割り当てられているApache Log4jの脆弱性であるLog4Shellは、昨年末に公表され、数日内に大量のサイバー攻撃やマルウェア感染に悪用され、多くの被害を生みました。原因として、Log4jがインストールされている多くの環境で簡単に悪用できることが挙げられています。

今回の Spring4Shell はそれを上回る被害が想定されたが

それに対してSpring4Shellは、Log4j以上に多くの環境で使われており、公表当時はLog4Shell以上に影響が広範囲に及ぶと考えられていました。しかし、先ほど説明した通り、攻撃が成功するための条件が厳しく、マルウェアが直ちに悪用できるような脆弱性ではないことが徐々にわかりはじめました。

攻撃成功条件が厳しい事からマルウェアが悪用できる脆弱性ではない

具体的には、攻撃によって動作するClassLoaderによってシステムの挙動が異なるため、Spring Bootのように、あらかじめ組み込まれたTomcatでは、脆弱性があるSpring Frameworkとは別の制限されたClassLoaderが呼び出されるため、Spring4Shellの直接的な影響を受けることはありません。ただし、脆弱性の本質的な問題とは異なりますので、注意が必要です。

今回は、Spring4Shellの脆弱性と、現時点で想定される影響範囲についてお届けしました。今後もSpring4Shellの追加情報がありましたら、再度取り上げていきます。