SpringShell(通称Spring4Shell)とは? Log4Shellとの関係は? | Codebook|Security News
Codebook|Security News > Articles > 脅威インテリジェンス > SpringShell(通称Spring4Shell)とは? Log4Shellとの関係は?

脅威インテリジェンス

Cyber Intelligence

Flashpoint

Intelligence

SpringShell(通称Spring4Shell)とは? Log4Shellとの関係は?

Tamura

Tamura

2022.03.31

脆弱性SpringShellとは? これまでに分かっていること

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2022年3月30日付)を翻訳したものです。

*[4月1日更新] 翻訳元ブログで、3月31日になされた更新を反映させました。

FlashpointとRisk Based Securityは、さまざまなソフトウェアに影響を及ぼす可能性のある新たなリモートコード実行の脆弱性「SpringShell」について分析しています。一部の界隈では、SpringShellはLog4Shellと同じくらい影響力があると騒がれ、噂されています。しかし、私たちはまだ事実を収集中であり、今後もこのブログを更新し、セキュリティチームがこの問題を優先すべきかを判断するのに役立つ情報を掲載していく予定です。

 

以下、SpringShellについて現在分かっていることをまとめました。

 

よく聞かれる質問

Spring4Shellか? SpringShellか?

確かに、「Spring Shell」という別のプロジェクトが存在するため、SpringShellという呼称は分かりにくく感じられるかもしれません。懸念の声を上げた方々には共感しますし、SpringShellという呼称は言葉足らずだという意見には同意します。

しかし、今回の問題に関連してSpringShellという言葉が生まれた以上、今後アップデートを共有する際、誤報に発展しうる情報を提供せぬよう、私たちは今後もSpringShellという呼称を使用します。「Spring4Shell」という別名がメディアで取り上げられることが多くなりましたが、私たちはこの名称を使わないことを推奨します。「4」は全く恣意的なものであり、Log4jライブラリから名前を取った脆弱性「Log4Shell」と関連づけるために使用されています。また、Spring4Shellという名称には、今回の問題がLog4Shellと同じくらい深刻であるとの含意がありますが、これを裏付ける情報は現在ありません。

 

SpringShellにCVEはあるのか?

CVE-2022-22963やCVE-2022-27772は、SpringShellとは別の問題ですが、区別がつきにくい形で議論されているため、これらを混同しないようにしましょう。

SpringShellは、2022年3月29日に公開されました。その2日後、SpringShellにCVE-2022-22965が割り当てられました。現在まだRESERVEDの状態ですが、Spring Frameworkによると「特定のエクスプロイトには、WARデプロイメントとしてTomcat上で実行されるアプリケーションが必要」[*訳注]とのことです。弊社アナリストは、この環境での脆弱性を確認済みですが、他の環境も影響を受ける可能性があります。

 

[*訳注] おそらく、こちらのSpring公式サイトを元にした記述です。

Spring Blog, Spring Framework RCE, Early Announcement

hxxps://spring[.]io/blog/2022/03/31/spring-framework-rce-early-announcement

 

現在、SpringShellは悪用可能か?

Spring Coreを対象としたリモート実行の概念実証(PoC)は公開・検証済みです。このPoCコードは、本脆弱性を利用してTomcatのロギング構成を変更し、ログファイルにシェルコードを配置し、リモートコード実行を図るものです。

 

現時点で本脆弱性はJDK 9以降に影響し、WARデプロイメントとしてTomcat上で実行されるアプリケーションを標的としたエクスプロイトが実在します。比較的特殊ではあるものの、Spring Coreはライブラリであるため、このエクスプロイトの方法はユーザーによって異なる可能性があります。必要な構成のもとで、どれだけのデバイスが動作しているかを評価するには、さらなる情報が必要であり、それまではSpringShellを次なるLog4Shellと見なすべきではありません。

 

SpringShellのCVSSスコアは?

ほぼすべてのリモートコード実行の脆弱性と同様、SpringShellのCVSSv2スコアは10.0、CVSSv3スコアは9.8です。しかし、Springはフレームワークであると同時にライブラリであるため、実際の脆弱なコードの実装によってリスクが低減される可能性があり、別の形で現れる可能性もあります。このため、SpringShellの影響が変わったり、アクセスの複雑さが増したり、悪用のために認証が必要になったりする可能性があります。

 

SpringShellの影響範囲を狭める要因は存在する?

本記事公開時点で、この脆弱性はJava Development Kit (JDK)のバージョン9以降とともにSpring Frameworkを使用するアプリケーションに影響を与えると報告されています。

 

Spring Frameworkの普及度は?

Spring Frameworkによれば、同フレームワークは世界で最も人気のJavaフレームワークであるとのことです。Alibabaやアマゾンなど、複数の大手ベンダーもSpringの一翼を担っています。

 

SpringShellに関する脅威アクターらの反応は?

BleepingComputerによると、複数の情報筋が取材に応じ、SpringShellが盛んに悪用されていると述べたとのことです。

 

ゼロデイ脆弱性を追跡・監視するならFlashpoint

Flashpointの関連会社であるRisk Based Securityは、284,000件超の脆弱性に対応しており、これには、CVE/NVDによる報告がなされていない約93,000件が含まれます。フリートライアルに申し込んで、平均より21日早く(NVDとの比較)脆弱性を発見してみませんか?

 

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。

詳しくは以下のフォームからお問い合わせください。

 

 

翻訳元サイト

Flashpoint, What Is SpringShell? What We Know About the SpringShell Vulnerability(March 30, 2022)

https://www.flashpoint-intel.com/blog/what-is-springshell-what-we-know-about-the-springshell-vulnerability/

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ