Spring4Shell злоупотребляют в кампании, продвигающей Mirai
Реализации на основе Java кажутся подарком, который продолжает дарить. Из-за периодических сообщений о продолжающихся попытках использовать Log4j , уязвимость, которая была у всех на уме зимой, теперь приходят новости об активной эксплуатации последней значительной уязвимости, обнаруженной в библиотеке Java Spring Core.
Боевое вредоносное ПО Mirai, использованное в кампании
За кампанией атак с использованием Spring4Shell следят две отдельные исследовательские фирмы. Теперь исследовательские группы обнаруживают, что старый знакомый используется для эксплуатации уязвимости Spring4Shell.
Обе компании, занимающиеся безопасностью, заметили, что вооруженная версия вредоносного ПО Mirai , обычно связанная с использованием ботнета, использовалась для активного использования уязвимости Spring4Shell.
Изучая системы, уязвимые для новой кампании, подталкивающей Mirai к злоупотреблению Spring4Shell, исследователи обнаружили ряд особенностей, обнаруженных в системах, уязвимых для эксплуатации. К ним относятся наличие среды Spring, запуск исправлений до версии 5.2.20 и обновление JDK до версии 9 или новее. Известно, что уязвимость Spring4Shell не влияет на платформы, на которых работает более старый комплект Java Development Kit, например JDK 8.
Apache Tomcat и определенные конфигурации привязки параметров Spring, настроенные на использование небазового типа параметра, также входят в число функций, характерных для уязвимых систем.
Первые попытки злоупотребить недостатком и перенести дату Mirai на конец марта
Приманки, управляемые исследователями, обнаружили первые попытки вторжения в последний день марта 2022 года.
Атаки с использованием вооруженного вредоносного ПО Mirai на системы, уязвимые для Spring4Shell, в основном были сосредоточены на целях, расположенных в Сингапуре и регионе.
Исследователи ожидают, что атаки, пытающиеся использовать уязвимость Spring4Shell, будут только увеличиваться в объеме в течение следующих месяцев, поскольку уязвимость была хорошо задокументирована, а подробности доступны для злоумышленников. Исправление по-прежнему важно, но, как и в случае с Log4j , проблема здесь не в исправлении, а в огромном количестве систем, на которых работает уязвимый код. В этом смысле даже 1% непропатченных систем из миллионов — это значительное количество потенциальных целей для эксплойта.