-
06/07/2013
-
797
-
1.306 bài viết
Mirai Botnet khai thác lỗ hổng Spring4Shell
Công ty an ninh mạng Trend Micro đã xác nhận một số báo cáo trước đó về lỗ hổng Spring4Shell đã bị botnet Mirai khai thác.
Hai lỗ hổng nghiêm trọng đã được vá gần đây trong Spring Framework: CVE-2022-22965 (hay còn gọi là Spring4Shell và SpringShell) và CVE-2022-22963.
Các lỗ hổng có thể bị khai thác để thực thi mã từ xa và cả hai đều có vẻ như đã bị khai thác bởi tin tặc, với các cuộc tấn công được cho là bắt đầu trước khi các nhà phát triển Spring cung cấp các bản vá.
Mặc dù cho đến nay, có vẻ như Spring4Shell không được khai thác rộng rãi như Log4Shell - một số chuyên gia trong ngành đã đưa ra lo ngại về khả năng này ngay sau khi Spring4Shell được tiết lộ - lỗ hổng vẫn có thể ảnh hưởng đến nhiều tổ chức và một số công ty an ninh mạng đã báo cáo rằng họ đã phát hiện các hoạt động khai thác.
Hầu hết các nỗ lực khai thác này nhằm mục đích tạo web shell có thể cho phép kẻ tấn công truy cập sâu hơn vào môi trường của tổ chức được nhắm mục tiêu. Tuy nhiên, có vẻ như một mạng botnet được cung cấp bởi phần mềm độc hại Mirai "khét tiếng" cũng đang khai thác Spring4Shell.
Công ty an ninh mạng Qihoo 360 của Trung Quốc là công ty đầu tiên báo cáo việc khai thác Spring4Shell bởi Mirai, vào ngày 1 tháng 4. Trend Micro hôm thứ Sáu đã xác nhận các báo cáo đó, giải thích rằng CVE-2022-22965 đã được tận dụng để tải xuống mã độc Mirai.
“Chúng tôi đã quan sát thấy hoạt động khai thác Spring4Shell trong đó những kẻ tấn công thực thi mã độc Mirai trên các máy chủ dễ bị tấn công, đặc biệt là ở khu vực Singapore,” Trend Micro giải thích. “Mẫu Mirai được tải xuống thư mục ‘/tmp’ và được thực thi sau khi thay đổi quyền để khiến chúng có thể thực thi được bằng cách sử dụng ‘chmod’.”
Những kẻ đứng sau botnet Mirai thường nhanh chóng bổ sung các lỗ hổng mới được tiết lộ vào kho vũ khí khai thác của chúng. Mạng botnet này gần đây cũng được phát hiện khai thác lỗ hổng Log4Shell.
Một số công ty an ninh mạng đã cung cấp các công cụ và tài nguyên miễn phí hữu ích để đối phó với Spring4Shell chi tiết xem tại đây.
Hai lỗ hổng nghiêm trọng đã được vá gần đây trong Spring Framework: CVE-2022-22965 (hay còn gọi là Spring4Shell và SpringShell) và CVE-2022-22963.
Các lỗ hổng có thể bị khai thác để thực thi mã từ xa và cả hai đều có vẻ như đã bị khai thác bởi tin tặc, với các cuộc tấn công được cho là bắt đầu trước khi các nhà phát triển Spring cung cấp các bản vá.
Mặc dù cho đến nay, có vẻ như Spring4Shell không được khai thác rộng rãi như Log4Shell - một số chuyên gia trong ngành đã đưa ra lo ngại về khả năng này ngay sau khi Spring4Shell được tiết lộ - lỗ hổng vẫn có thể ảnh hưởng đến nhiều tổ chức và một số công ty an ninh mạng đã báo cáo rằng họ đã phát hiện các hoạt động khai thác.
Hầu hết các nỗ lực khai thác này nhằm mục đích tạo web shell có thể cho phép kẻ tấn công truy cập sâu hơn vào môi trường của tổ chức được nhắm mục tiêu. Tuy nhiên, có vẻ như một mạng botnet được cung cấp bởi phần mềm độc hại Mirai "khét tiếng" cũng đang khai thác Spring4Shell.
Công ty an ninh mạng Qihoo 360 của Trung Quốc là công ty đầu tiên báo cáo việc khai thác Spring4Shell bởi Mirai, vào ngày 1 tháng 4. Trend Micro hôm thứ Sáu đã xác nhận các báo cáo đó, giải thích rằng CVE-2022-22965 đã được tận dụng để tải xuống mã độc Mirai.
“Chúng tôi đã quan sát thấy hoạt động khai thác Spring4Shell trong đó những kẻ tấn công thực thi mã độc Mirai trên các máy chủ dễ bị tấn công, đặc biệt là ở khu vực Singapore,” Trend Micro giải thích. “Mẫu Mirai được tải xuống thư mục ‘/tmp’ và được thực thi sau khi thay đổi quyền để khiến chúng có thể thực thi được bằng cách sử dụng ‘chmod’.”
Những kẻ đứng sau botnet Mirai thường nhanh chóng bổ sung các lỗ hổng mới được tiết lộ vào kho vũ khí khai thác của chúng. Mạng botnet này gần đây cũng được phát hiện khai thác lỗ hổng Log4Shell.
Một số công ty an ninh mạng đã cung cấp các công cụ và tài nguyên miễn phí hữu ích để đối phó với Spring4Shell chi tiết xem tại đây.
Nguồn: Securityweek
Chỉnh sửa lần cuối bởi người điều hành: