„Mirai“ kenkėjiška programa dabar naudoja „Spring4Shell“ išnaudojimą, kad užkrėstų pažeidžiamus žiniatinklio serverius ir įdarbintų juos DDoS (Distributed Denial of Service) atakoms.
Spring4Shell yra kritinis nuotolinio kodo vykdymo (RCE) pažeidžiamumas, stebimas kaip CVE-2022-22965, turintis įtakos Spring Framework, plačiai naudojamai įmonės lygio Java programų kūrimo platformai.
„Spring“ išleido avarinius atnaujinimus, kad pašalintų nulinės dienos trūkumą praėjus kelioms dienoms po jo atradimo, tačiau grėsmės veikėjai jau pradėjo naudoti pažeidžiamus diegimus.
Nors „Microsoft“ ir „CheckPoint“ aptiko daug „Spring4Shell“ išpuolių gamtoje, jų sėkmė buvo abejotina, nes nebuvo pranešimų apie didelio masto incidentus, susijusius su pažeidžiamumu.
Todėl „Trend Micro“ atrado „Mirai botneto“ variantą, sėkmingai naudojantį CVE-2022-22965, kad paskatintų savo kenkėjišką veiklą, kelia susirūpinimą.
Išpuoliai buvo nukreipti į Singapūrą
Pastebėtas aktyvus išnaudojimas, prasidėjęs prieš kelias dienas, yra nukreiptas į pažeidžiamus žiniatinklio serverius Singapūre, o tai gali būti preliminarus bandymo etapas prieš grėsmės veikėjui pradedant operaciją visame pasaulyje.
„Spring4Shell“ naudojamas JSP žiniatinklio apvalkalui įrašyti į žiniatinklio serverio žiniatinklio šaknį per specialiai sukurtą užklausą, kurią grėsmės veikėjai gali naudoti nuotoliniu būdu vykdydami komandas serveryje.
Tokiu atveju grėsmės veikėjai naudoja nuotolinę prieigą, kad atsisiųstų Mirai į aplanką „/tmp“ ir paleistų.
Šioje atakoje naudojamos užklausos ir komandos („Trend Micro“)
Grėsmių dalyviai gauna kelis Mirai pavyzdžius įvairioms procesoriaus architektūroms ir vykdo juos naudodami „wget.sh“ scenarijų.
Scenarijus, kuris gauna kelis pavyzdžius iš Mirai („Trend Micro“)
Tie, kurių nepavyksta paleisti dėl nesuderinamumo su tiksline architektūra, pašalinami iš disko po pradinio paleidimo etapo.
De Log4Shell ir Spring4Shell
Keletas „Mirai“ robotų tinklų buvo tarp nedaugelio nuolatinių „Log4Shell“ pažeidžiamumo (CVE-2021-44228) išnaudotojų iki praėjusio mėnesio, pasinaudoję plačiai naudojamos „Log4j“ programinės įrangos trūkumu, kad į savo DDoS robotų tinklą įtrauktų pažeidžiamus įrenginius.
„Botnet“ operatoriai dabar gali eksperimentuoti su kitais potencialiai įtakingais trūkumais, pvz., „Spring4Shell“, kad gautų prieigą prie naujų įrenginių grupių.
Atsižvelgiant į tai, kad tokio tipo atakos gali sukelti išpirkos reikalaujančių programų diegimą ir duomenų nutekėjimą, „Mirai“ išteklių užgrobimo atvejis, kai atsisakoma teikti paslaugą arba naudojant šifravimą, atrodo gana nekenksmingas.
Tęsiant sistemų pataisymą ir mažėjant pažeidžiamų diegimų skaičiui, nepataisyti serveriai bus rodomi daugiau kenkėjiškų tinklo nuskaitymų, todėl bus bandoma išnaudoti.
Administratoriai turėtų kuo greičiau atnaujinti „Spring Framework“ 5.3.18 ir 5.2.20, o taip pat į „Spring Boot“ 2.5.12 ar naujesnę versiją, kad užkirstų kelią šioms atakoms prieš prisijungiant prie pastangų pavojingesnėms grėsmių grupėms. išnaudojimą.
Ką tu manai?
