Spring4Shell, Mirai'yi Zorlayan Kampanyada Kötüye Kullanıldı

Java tabanlı uygulamalar, vermeye devam eden hediye gibi görünüyor. Kışın herkesin aklındaki güvenlik açığı olan Log4j'den yararlanmaya yönelik süregelen çabalara ilişkin ara sıra raporlarla birlikte, şimdi Spring Core Java kitaplığında keşfedilen en son önemli güvenlik açığının aktif olarak kullanılmasına yönelik haberler geliyor.

Kampanyada kullanılan silahlandırılmış Mirai kötü amaçlı yazılımı

Spring4Shell kullanan saldırı kampanyası, iki ayrı güvenlik araştırma firması tarafından izleniyor. Şimdi araştırma ekipleri, Spring4Shell güvenlik açığından yararlanmak için kullanılan eski bir tanıdık tespit ediyor.

Her iki güvenlik şirketi de, Spring4Shell kusurundan aktif olarak yararlanmak için genellikle botnet kullanımıyla ilişkilendirilen Mirai kötü amaçlı yazılımının silahlaştırılmış bir sürümünün kullanıldığını fark etti.

Araştırmacılar, Mirai'yi Spring4Shell'i kötüye kullanmaya zorlayan yeni kampanyaya karşı savunmasız olan sistemleri incelerken, sömürüye açık sistemlerde bulunan bir dizi özelliği tespit ettiler. Bunlar, Spring çerçevesinin varlığını, 5.2.20'den önce yamaları çalıştırmayı ve 9 veya daha yeni sürümlere güncellenen JDK'yı içerir. Spring4Shell kusurunun, JDK 8 gibi daha eski Java Geliştirme Kiti çalıştıran platformları etkilemediği bilinmektedir.

Apache Tomcat ve temel olmayan bir parametre türünü kullanacak şekilde ayarlanmış belirli Spring parametre bağlama yapılandırmaları da savunmasız sistemlere özgü özellikler arasındadır.

İlk kusuru kötüye kullanma ve Mirai tarihini Mart ayı sonuna erteleme girişimleri

Araştırmacı tarafından işletilen bal küpleri, Mart 2022'nin son gününde ilk izinsiz giriş girişimlerini tespit etti.

Spring4Shell'e karşı savunmasız sistemlere silahlandırılmış Mirai kötü amaçlı yazılımları dağıtan saldırılar, çoğunlukla Singapur ve bölgedeki hedeflere odaklandı.

Araştırmacılar, Spring4Shell güvenlik açığından yararlanmaya çalışan saldırıların, kusurun iyi bir şekilde belgelenmesi ve tehdit aktörlerinin de alması için ayrıntıların mevcut olması nedeniyle, yalnızca önümüzdeki aylarda hacmin artmasını bekliyorlar. Yama her zamanki gibi önemli olmaya devam ediyor, ancak Log4j örneğine benzer şekilde, buradaki sorun yama yapmak değil, savunmasız kod çalıştıran çok sayıda sistem. Bu anlamda, milyonlarca sistemden yama uygulanmamış sistemlerin %1'i bile, istismar için önemli sayıda potansiyel hedeftir.