Spring4Shellの脆弱性に対するChemaxonの対応

Chemaxonの対応状況の概要:

Chemaxon のアーキテクトとエンジニアリングチームは、脆弱性 CVE-2022-22965 (他のベンダーからは Spring4Shell / SpringShell) とも呼ばれています) および CVE-2022-22963 とその悪用可能性について積極的に調査しています。私たちは、脆弱性の暴露とそれに関連する攻撃を監視し、裁量と考えらえる緩和策を講じることに全力を尽くしています。また、より多くの情報が入手可能になるにつれて、当社独自のインフラおよび製品の監視を継続しています。

Spring4Shellとは何ですか?

Spring4Shellは、ソフトウェア開発者がエンタープライズレベルの機能を持つJavaアプリケーションを迅速かつ容易に開発することができる、ポピュラーなアプリケーション開発フレームワークであるSpring Coreのバグです。これらのアプリケーションは、Apache Tomcatなどのサーバーや、必要な依存環境をすべて備えたスタンドアロンアプリケーションとして設置することができます。このバグは、認証されていない攻撃者が、脆弱なシステム上で任意のコードを実行することを可能にします。

CVE-2022-22965の影響・危険性・緩和策:

CVE-2022-22965 は、Spring Core <=5.3.17 (5.3.x 用) および <=5.2.19 (5.2.x 用) に確認されている RCE 脆弱性です。この脆弱性はクラス操作の脆弱性で、現在 Spring4Shell または SpringShell として公に議論されており、CVE-2010-1622(http://blog.o0o.nu/2010/06/cve-2010-1622.html or https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#suggested-workarounds) に対して設定された保護機能をバイパスするものと思われます。また、その他の緩和要因により、Spring Coreで動作するサーバーが脆弱であるかどうかが規定されます。現在、脆弱性が確認されているインスタンスは、JDKバージョン9以降で動作するSpring MVCまたはSpring WebFluxアプリケーション（spring-webmvcまたはspring-webflux）を使用することが条件となっています。また、Spring CoreはApache Tomcat上でWAR形式で動作させる必要があります。JARのデプロイメントには、現在のところ脆弱性がないことが確認されています。
さらに、Class Loader Manipulationの脆弱性は非常に複雑であり、多くの緩和要因があるため、実際の実装でどれくらいの脆弱性があるか、またこの脆弱性の範囲が他の実装に拡大するかどうかはまだ不明です。Chemaxon は、利用可能な次のリリースで、影響を受けるソフトウェアを修正バージョンにアップグレードします。

CVE-2022-22963の影響・危険性・緩和策:

CVE-2022-22963は、Springに2つ目のRCEの脆弱性が確認されたものです。ただし、Spring Coreではなく、デフォルトのSpring FrameworkにはないSpring Cloud Functionに影響します。Spring Cloud Function <=3.1.6 (3.1.x用) と <=3.2.2 (3.2.x用) に影響を及ぼします。この脆弱性は、Spring Expression Language (SpEL) に影響します。攻撃者は spring.cloud.function.routing-expression という HTTP パラメータを経由して SpEL に任意のコードを渡すことができます。このパラメータは Cloud Function によって検証されないためです。この脆弱性は比較的容易に利用することができ（特定の変数に従う）、curlやBurpのような一般的なツールを介して実行することが可能です。しかし、Spring Cloud Functionを使用しているホストの数は、Spring Core自体に比べてはるかに少ないようで、攻撃対象は限定されるはずです。

現在、Chemaxonの製品でこのインスタンスの影響を受けるものはありません。

影響を受ける製品

Chemaxonは、この脆弱性がもたらす潜在的な影響を軽減するために、迅速なパッチ適用と対策を行っています。以下の対象製品については、頻繁に修正パッチがリリースされています。

• Instant JChem、Plexus Connect の修正は、次のIodineのホットフィックスに含まれます。
• Chemlocator は検討中です。
• Compliance Checker通常は影響を受けません。アプリケーションのWARファイルをスタンドアロンのTomcatコンテナにデプロイした場合、影響を受ける可能性があります。この場合、22.9.0 Frequent Releaseに修正版が含まれます。
• Compound Registration.war と docker の両方のリリースが影響を受けます。Krypton.1, Iodine.3, 次回のfrequent releaseに修正が反映されます。

当社のプロフェッショナルサービスのコンサルタントは、影響を受けるお客様と協力して、個別のインテグレーションプロジェクトにおけるリスクを軽減しています。

影響を受けない製品群

上記を除くすべてのChemaxon製品は影響を受けません。

その他の軽減措置

お客様が運用されている他の（Chemaxon 以外の）ソフトウェアが影響を受ける可能性があるかどうかを確認し、該当するベンダーにパッチが提供されているかどうかを確認されることをお勧めします。

AWSは、WAF（Web Application Firewall）の設定に追加するルールを公開し、攻撃者がこれらの脆弱性を悪用することを防止するのに役立っています。

Chemaxonは、これらの変更を当社のWAFに導入しました。

次のステップ

製品開発部門では、対象製品の脆弱性修正を最優先事項として対応しており、今後も必要に応じて本資料でお知らせします。

関連資料:

• Spring: Spring Framework RCE, Early Announcement
• Symantec: Definition of Spring4Shell
• Trustwave: Response
• VMware: CVE-2022-22963: Remote code execution in Spring Cloud Function by malicious Spring Expression
• VMware: CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+

原文：https://chemaxon.com/news/chemaxons-response-to-cve-2022-22965-and-cve-2022-22963