Spring4Shellia on käytetty väärin Mirai-työntökampanjassa
Java-pohjaiset toteutukset näyttävät olevan lahja, joka antaa jatkuvasti. Kun ajoittain raportoidaan meneillään olevista yrityksistä hyödyntää Log4j :tä, joka oli kaikkien mielessä talvella ollut haavoittuvuus, nyt on tulossa uutisia Spring Core Java -kirjastosta löydetyn viimeisimmän merkittävän haavoittuvuuden aktiivisesta hyödyntämisestä.
Kampanjassa käytetty aseistettu Mirai-haittaohjelma
Spring4Shell-hyökkäyskampanjaa valvoo kaksi erillistä tietoturvatutkimusyritystä. Nyt tutkimusryhmät huomaavat, että vanhaa tuttavaa käytetään hyväksi Spring4Shell-haavoittuvuuden hyväksi.
Molemmat tietoturvayritykset huomasivat, että aseellista versiota Mirai-haittaohjelmasta , joka liittyy yleisesti botnet-käyttöön, käytettiin Spring4Shell-virheen aktiiviseen hyödyntämiseen.
Tutkiessaan järjestelmiä, jotka olivat haavoittuvia uudelle kampanjalle, joka pakotti Mirain väärinkäyttämään Spring4Shellia, tutkijat havaitsivat joukon ominaisuuksia, jotka löytyivät järjestelmistä, jotka ovat alttiita hyväksikäytölle. Näitä ovat Spring-kehyksen läsnäolo, 5.2.20:ta aikaisemmat korjaustiedostot ja JDK päivitetty versioon 9 tai uudempaan. Spring4Shell-virheen ei tiedetä vaikuttavan alustoihin, joissa on vanhempi Java-kehityspaketti, kuten JDK 8.
Apache Tomcat ja erityiset Spring-parametrisidontakokoonpanot, jotka on asetettu käyttämään muuta kuin perusparametrityyppiä, ovat myös haavoittuvien järjestelmien ominaisuuksia.
Ensimmäiset yritykset käyttää virhettä väärin ja siirtää Mirai-päivämäärä maaliskuun lopulle
Tutkijoiden käyttämät hunajaruukut havaitsivat ensimmäiset tunkeutumisyritykset maaliskuun 2022 viimeisenä päivänä.
Hyökkäykset, joissa käytettiin aseistettuja Mirai-haittaohjelmia Spring4Shellille haavoittuviin järjestelmiin, kohdistuivat enimmäkseen Singaporessa ja sen alueella sijaitseviin kohteisiin.
Tutkijat odottavat, että Spring4Shell-haavoittuvuutta hyödyntävät hyökkäykset vain lisääntyvät seuraavien kuukausien aikana, koska virhe on dokumentoitu hyvin ja yksityiskohdat ovat saatavilla myös uhkatoimijoille. Paikkaus on yhtä tärkeä kuin koskaan, mutta kuten Log4j:n tapauksessa , ongelma ei ole korjaus, vaan haavoittuvaa koodia käyttävien järjestelmien suuri määrä. Tässä mielessä jopa 1 % korjaamattomista järjestelmistä miljoonista on merkittävä määrä mahdollisia kohteita hyväksikäytölle.