Вредоносная программа Mirai использует эксплойт Spring4Shell для инъекции уязвимых веб-серверов и последующего использования их для DDoS-атак (распределенный отказ в обслуживании).
Spring4Shell - это критическая уязвимость удаленного выполнения кода (RCE), отслеживаемая как CVE-2022-22965, затрагивающая Spring Framework, широко используемую платформу разработки Java-приложений корпоративного уровня.
Spring выпустила экстренные обновления для устранения критической уязвимости "0-day" через несколько дней после обнаружения, однако злоумышленники уже успели воспользоваться этой "дырой".
Компании Microsoft и CheckPoint обнаружили множество атак с использованием Spring4Shell, но все они были практически безуспешны, поскольку не было массовых сообщений о масштабных инцидентах, связанных с уязвимостью.
Поэтому обнаружение компанией Trend Micro варианта ботнета Mirai, успешно использующего CVE-2022-22965 для продвижения своей вредоносной операции, вызывает беспокойство.
Основной вектор атаки - Сингапур
Наблюдаемая хакерская активность, начавшаяся несколько дней назад, сосредоточена на уязвимых веб-серверах в Сингапуре. И это может быть предварительным этапом тестирования перед тем, как злоумышленники проведут кибератаки в глобальном масштабе.
Spring4Shell используется для записи веб-оболочки JSP в корень веб-сервера через специально созданный запрос, который злоумышленники могут использовать для удаленного выполнения команд на сервере.
В этом случае хакеры используют свой удаленный доступ для загрузки Mirai в папку "/tmp" и его выполнения.
Злодеи разрабатывают несколько образцов Mirai для различных архитектур процессоров и выполняют их с помощью скрипта "wget.sh".
Те образцы, которые не запускаются из-за их несовместимости с архитектурой атакованного устройства, для "заметания следов" удаляются с диска после начальной стадии выполнения.
От Log4Shell к Spring4Shell
Различные ботнеты Mirai до прошлого месяца были одними из немногих, эксплуатировавших уязвимость Log4Shell (CVE-2021-44228) в широко используемом программном обеспечении Log4j для привлечения уязвимых устройств в свою DDoS-бот-сеть.
Не исключено, что теперь для получения доступа к новому списку устройств, операторы ботнетов начнут экспериментировать с другими уязвимостями, которые могут оказаться потенциально опаснее, например, Spring4Shell.
Использование Mirai для DDoS-атак или внедрения криптомайнинга кажется относительно безобидным, учитывая, что подобные атаки могут привести к распространению ransomware (программы-вымогатели) и утечке данных,
По мере исправления систем и уменьшения количества уязвимых развертываний, непропатченные серверы будут появляться в большем количестве вредоносных сетевых сканирований, что приведет к попыткам их использования в качестве устройств ботнет-сети
Администраторам необходимо как можно скорее обновить Spring Framework до версий 5.3.18 и 5.2.20, а также Spring Boot 2.5.12 или более поздней версии, чтобы закрыть дыры безопасности до того, как наиболее резвые хакерские группировки не воспользуются уязвимостью.