Spring4Shell abusé dans la campagne poussant Mirai
Les implémentations basées sur Java semblent être le cadeau qui continue de donner. Avec des rapports occasionnels sur les efforts en cours pour exploiter Log4j, la vulnérabilité qui préoccupait tout le monde en hiver, des nouvelles arrivent pour l'exploitation active de la dernière vulnérabilité importante découverte dans la bibliothèque Spring Core Java.
Logiciel malveillant Mirai utilisé dans la campagne
La campagne d'attaque utilisant Spring4Shell est surveillée par deux sociétés de recherche en sécurité distinctes. Maintenant, les équipes de recherche repèrent une vieille connaissance utilisée pour exploiter la vulnérabilité Spring4Shell.
Les deux sociétés de sécurité ont remarqué qu'une version militarisée du malware Mirai, couramment associée à l'utilisation de botnets, était utilisée pour exploiter activement la faille Spring4Shell.
Lors de l'examen des systèmes vulnérables à la nouvelle campagne poussant Mirai à abuser de Spring4Shell, les chercheurs ont repéré un certain nombre de traits trouvés dans les systèmes susceptibles d'être exploités. Ceux-ci incluent la présence du framework Spring, l'exécution de correctifs antérieurs à 5.2.20 et le JDK mis à jour vers les versions 9 ou plus récentes. La faille Spring4Shell est connue pour ne pas affecter les plates-formes exécutant un ancien kit de développement Java, tel que JDK 8.
Apache Tomcat et les configurations spécifiques de la liaison de paramètres Spring, définies pour utiliser un type de paramètre non basique, font également partie des fonctionnalités spécifiques aux systèmes vulnérables.
Premières tentatives pour abuser de la faille et repousser la date Mirai à fin mars
Des pots de miel exploités par des chercheurs ont détecté les premières tentatives d'intrusion le dernier jour de mars 2022.
Les attaques déployant le malware Mirai armé sur les systèmes vulnérables à Spring4Shell étaient principalement concentrées sur des cibles situées à Singapour et dans la région.
Les chercheurs s'attendent à ce que les attaques tentant d'exploiter la vulnérabilité Spring4Shell n'augmentent qu'en volume au cours des prochains mois, car la faille a été bien documentée et les détails sont disponibles pour que les acteurs de la menace puissent également en prendre connaissance. L'application de correctifs reste aussi essentielle que jamais, mais comme dans le cas de Log4j, le problème ici n'est pas l'application de correctifs mais le nombre de systèmes exécutant du code vulnérable. En ce sens, même 1 % de systèmes non corrigés sur des millions représente un nombre important de cibles potentielles pour l'exploit.