3月29日晚，天融信安全應(yīng)急響應(yīng)中心監(jiān)測到Spring Framework高危遠(yuǎn)程代碼執(zhí)行漏洞，并第一時間進(jìn)行漏洞復(fù)現(xiàn)，隨即啟動應(yīng)急響應(yīng)，及時報(bào)送漏洞信息。目前，國家信息安全漏洞共享平臺（CNVD）已收錄Spring Framework遠(yuǎn)程命令執(zhí)行漏洞（CNVD-2022-23942），并致謝。

目前，天融信下一代防火墻、脆弱性掃描與管理系統(tǒng)、自適應(yīng)安全防御系統(tǒng)、Web應(yīng)用安全防護(hù)系統(tǒng)、等產(chǎn)品均已更新Spring Framework遠(yuǎn)程命令執(zhí)行漏洞檢查或防護(hù)插件，建議用戶盡快更新規(guī)則庫，及時查缺補(bǔ)漏，消除風(fēng)險(xiǎn)。

漏洞信息

受影響版本信息如下：

SpringFramework 5.3.X < 5.3.18

SpringFramework 5.2.X < 5.2.20

以及任何引用SpringFramework的衍生產(chǎn)品，如JDK ≥ 9，JRE ≥ 9

漏洞處置

Spring官方處置方案

目前，Spring官方已發(fā)布新版本完成漏洞修復(fù)，CNVD建議受漏洞影響的產(chǎn)品（服務(wù)）廠商和信息系統(tǒng)運(yùn)營者盡快進(jìn)行自查，并及時升級至最新版本：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

天融信脆弱性掃描與管理系統(tǒng)

天融信脆弱性掃描與管理系統(tǒng)集成系統(tǒng)漏掃、Web漏掃、數(shù)據(jù)庫漏掃、弱口令檢測、基線核查等功能，可從多角度進(jìn)行信息資產(chǎn)的脆弱性審計(jì)，提供專業(yè)的安全分析和修補(bǔ)建議。天融信漏掃已發(fā)布緊急升級包，更新、檢測方法如下：

1、手動升級方式：規(guī)則庫升級至“vas-sys-v1.0-2022.04.01.tir”和“vas-web-v2022.04.01.tir”版本，可聯(lián)系天融信當(dāng)?shù)丶夹g(shù)人員獲取最新規(guī)則庫；

2、在線自動升級：使用管理員賬號【系統(tǒng)管理】→【系統(tǒng)維護(hù)】→【插件庫升級】→立即升級；

3、創(chuàng)建漏洞掃描任務(wù)：掃描完成后查看報(bào)告，如存在該漏洞，可按照報(bào)告中的修復(fù)建議進(jìn)行“補(bǔ)缺”。

天融信自適應(yīng)安全防御系統(tǒng)

天融信自適應(yīng)安全防御系統(tǒng)集防御、檢測、響應(yīng)、預(yù)測為一體，通過資產(chǎn)管理、風(fēng)險(xiǎn)發(fā)現(xiàn)、威脅監(jiān)測、網(wǎng)絡(luò)微隔離等功能實(shí)現(xiàn)持續(xù)的監(jiān)控與分析，精準(zhǔn)定位主機(jī)新漏洞，加強(qiáng)主動防御能力。漏洞定位與處置方式如下：

1、 通過資產(chǎn)清點(diǎn)對Spring Framework進(jìn)行排查，第一時間定位風(fēng)險(xiǎn)主機(jī)；

2、對風(fēng)險(xiǎn)主機(jī)下發(fā)漏洞掃描任務(wù)，若存在該風(fēng)險(xiǎn)漏洞，可根據(jù)修復(fù)建議進(jìn)行漏洞修復(fù)。

天融信Web應(yīng)用安全防護(hù)系統(tǒng)

天融信Web應(yīng)用安全防護(hù)產(chǎn)品（TopWAF）內(nèi)置安全規(guī)則并結(jié)合自學(xué)習(xí)，自動化攻擊防護(hù)、漏洞掃描、DDoS防護(hù)、網(wǎng)頁防篡改等功能，對Web業(yè)務(wù)的雙向流量進(jìn)行安全過濾，為廣大客戶提供智能、高效、零感知的Web安全解決方案。

已部署天融信TopWAF客戶在2021年3月之后更新過規(guī)則庫都可以防御該漏洞，確認(rèn)開啟防護(hù)規(guī)則ID：1030006即可；

1、查詢規(guī)則庫版本：【系統(tǒng)管理】→【系統(tǒng)維護(hù)】→【規(guī)則庫升級】；

2、確認(rèn)開啟防護(hù)規(guī)則：【W(wǎng)eb防護(hù)】→【安全策略】→【規(guī)則庫】→【核心規(guī)則】搜索ID：1030006 查看啟用狀態(tài)；

3、查看攔截信息：【監(jiān)控中心】→【安全策日志】→【攻擊日志】。