VMware patches Spring4Shell RCE flaw in multiple products
2022/04/04 Bleeping Computer — VMware は、同社のクラウドおよび仮想化の製品のいくつかに影響を及ぼす、深刻なリモートコード実行の脆弱性 (Spring4Shell) に対するセキュリティ・アップデートを公開した。Spring4Shell の影響を受ける VMware 製品の一覧は、同社のアドバイザリで確認できる。修正プログラムが提供されていないケースのために、VMware は一時的な解決策としてワークアラウンドをリリースしている。現時点において、Spring4Shell は活発に悪用される脆弱性でり、セキュリティ速報に記載されているアドバイスに従うことが極めて重要となる。
一般的なフレームワークの欠陥
Spring4Shell は、正式には CVE-2022-22965 として追跡されている。認証なしで悪用できる Java フレームワーク Spring Core における、リモートコード実行の脆弱性であり、深刻度を示す CVSS 値は 9.8 である。脆弱なアプリケーションへのアクセスを達成した脅威アクターであれば、任意のコマンドを実行し、ターゲット・システムを完全に制御できることを意味する。
Java アプリケーション開発用の Spring Framework は広く普及しているため、Spring4Shell の脆弱性を悪用した大規模な攻撃が生じることを、セキュリティ・アナリストたちは懸念している。さらに悪いことに、セキュリティ・アップデートが提供される前に、PoC エクスプロイトが GitHub に流出し、悪用と奇襲攻撃の可能性が高まっている。
影響と対策
この致命的な欠陥は、JDK 9+で動作する Spring MVC/Spring WebFlux アプリに影響を及ぼす。このエクスプロイトでは、WAR 形式でデプロイされたアプリが Tomcat で実行されていることが条件となるが、正確な制限などについては調査中である。
修正されたアプリのバージョンは以下の通りとなる。
- Spring Framework 5.3.18 and Spring Framework 5.2.20
- Spring Boot 2.5.12
- Spring Boot 2.6.6 (soon to be released)
VMWare は、製品ポートフォリオを確認し、現在も調査を継続しているが、以下の製品については、すでに影響があると判断している。
- VMware Tanzu Application Service for VMs – versions 2.10 to 2.13
- VMware Tanzu Operations Manager – versions 2.8 to 2.9
- VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) – versions 1.11 to 1.13
VMware は、上から2つの製品については、複数のバージョン・ブランチをカバーするセキュリティ・アップデートを公開しているが、VMware Tanzu Kubernetes Grid Integrated Edition については、恒久的な修正プログラムを準備しているところだ。

VMWare は、一連のデプロイメントについて、パッチがリリースされるまでの間、システムを一時的に保護するための、ワークアラウンドの説明書を公開している。注意点として、VMWare は Spring4Shell の悪用が、TKGI においては複雑であることを発見しており、顧客の信頼を最大限に高め、誤検知を避けるために、緩和策とアップデートが提供されている。提供された公式セキュリティ推奨事項には、逸脱や遅延なく従うべきであり、脅威アクターの行為からデプロイメントを保護し、安全に保つべきである。
一定の条件でのみ、攻撃が成功するとされる Spring4Shell ですが、それぞれのベンダーから対策が提供され始めました。今後も、続報があれば掲載していくつもりです。よろしければ、3月30日の「Spring Java Framework のゼロデイ脆弱性 CVE-2022-22963:RCE 防御のための緩和策」を、ご参照ください。