WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
CISA cảnh báo về việc khai thác tích cực lỗ hổng Spring4Shell
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng thực thi mã từ xa (RCE) gần đây ảnh hưởng đến Spring Framework vào Danh mục các lỗ hổng bị khai thác.
Lỗ hổng nghiêm trọng CVE-2022-22965 (điểm CVSS: 9,8) và được đặt tên là "Spring4Shell", ảnh hưởng đến các ứng dụng Spring model – view – controller (MVC) và Spring WebFlux chạy trên Java Development Kit 9 trở lên.
"Việc khai thác yêu cầu một điểm cuối có bật DataBinder (ví dụ: yêu cầu POST tự động giải mã dữ liệu từ phần thân yêu cầu) và phụ thuộc nhiều vào vùng chứa servlet cho ứng dụng", các nhà nghiên cứu Anthony Weems và Dallas Kaman lưu ý vào tuần trước.
Mặc dù vẫn chưa có bằng chứng về việc bị khai thác trong thực tế, nhưng SecurityScorecard cho biết "hoạt động quét lỗ hổng này đã được quan sát thấy đến từ các nghi phạm thông thường như không gian IP của Nga và Trung Quốc".
Các hoạt động quét tương tự đã được phát hiện bởi Unit42 của Akamai và Palo Alto Networks, với những nỗ lực dẫn đến việc triển khai web shell để truy cập backdoor và thực hiện các lệnh tùy ý trên máy chủ với mục tiêu phân phối phần mềm độc hại khác hoặc lây lan trong mạng mục tiêu.
Theo thống kê do Sonatype công bố, các phiên bản Spring Framework có khả năng bị tấn công chiếm 81% tổng số lượt tải xuống từ kho lưu trữ Maven Central kể từ ngày 31 tháng 3.
Cisco đang điều tra dòng sản phẩm của mình để xác định sản phẩm có thể bị ảnh hưởng bởi lỗ hổng, trong đó gồm:
Cũng được CISA bổ sung vào danh mục là hai lỗi zero-day được Apple vá vào tuần trước (CVE-2022-22674 và CVE-2022-22675) và lỗi nghiêm trọng trong bộ định tuyến D-Link (CVE-2021-45382) đã được được vũ khí hóa tích cực bởi chiến dịch DDoS dựa trên Beastmode Mirai.
Chi nhánh Điều hành Dân sự Liên bang (FCEB) được yêu cầu khắc phục các lỗ hổng được xác định trước ngày 25 tháng 4 năm 2022.
Lỗ hổng nghiêm trọng CVE-2022-22965 (điểm CVSS: 9,8) và được đặt tên là "Spring4Shell", ảnh hưởng đến các ứng dụng Spring model – view – controller (MVC) và Spring WebFlux chạy trên Java Development Kit 9 trở lên.
"Việc khai thác yêu cầu một điểm cuối có bật DataBinder (ví dụ: yêu cầu POST tự động giải mã dữ liệu từ phần thân yêu cầu) và phụ thuộc nhiều vào vùng chứa servlet cho ứng dụng", các nhà nghiên cứu Anthony Weems và Dallas Kaman lưu ý vào tuần trước.
Mặc dù vẫn chưa có bằng chứng về việc bị khai thác trong thực tế, nhưng SecurityScorecard cho biết "hoạt động quét lỗ hổng này đã được quan sát thấy đến từ các nghi phạm thông thường như không gian IP của Nga và Trung Quốc".
Các hoạt động quét tương tự đã được phát hiện bởi Unit42 của Akamai và Palo Alto Networks, với những nỗ lực dẫn đến việc triển khai web shell để truy cập backdoor và thực hiện các lệnh tùy ý trên máy chủ với mục tiêu phân phối phần mềm độc hại khác hoặc lây lan trong mạng mục tiêu.
Theo thống kê do Sonatype công bố, các phiên bản Spring Framework có khả năng bị tấn công chiếm 81% tổng số lượt tải xuống từ kho lưu trữ Maven Central kể từ ngày 31 tháng 3.
Cisco đang điều tra dòng sản phẩm của mình để xác định sản phẩm có thể bị ảnh hưởng bởi lỗ hổng, trong đó gồm:
- Cisco Crosswork Optimization Engine
- Cisco Crosswork Zero Touch Provisioning (ZTP)
- Cisco Edge Intelligence
- VMware Tanzu Application Service for VMs
- VMware Tanzu Operations Manager, and
- VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)
Cũng được CISA bổ sung vào danh mục là hai lỗi zero-day được Apple vá vào tuần trước (CVE-2022-22674 và CVE-2022-22675) và lỗi nghiêm trọng trong bộ định tuyến D-Link (CVE-2021-45382) đã được được vũ khí hóa tích cực bởi chiến dịch DDoS dựa trên Beastmode Mirai.
Chi nhánh Điều hành Dân sự Liên bang (FCEB) được yêu cầu khắc phục các lỗ hổng được xác định trước ngày 25 tháng 4 năm 2022.
Theo: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: