Mirai kötü amaçlı yazılımı, savunmasız web sunucularına bulaşmak ve onları DDoS (dağıtılmış hizmet reddi) saldırıları için işe almak için Spring4Shell istismarından yararlanıyor.
Spring4Shell bir kritik uzaktan kod yürütme (RCE) güvenlik açığı CVE-2022-22965 olarak izlendi ve yaygın olarak kullanılan kurumsal düzeyde bir Java uygulama geliştirme platformu olan Spring Framework’ü etkiledi.
Bahar için acil durum güncellemeleri yayınladı sıfır gün kusurunu düzelt keşfinden birkaç gün sonra, ancak tehdit aktörlerinin savunmasız dağıtımlardan yararlanmaları zaten devam ediyordu.
Süre Microsoft ve Kontrol Noktası Vahşi doğada Spring4Shell’den yararlanan birçok saldırı tespit etti, güvenlik açığını içeren büyük ölçekli olaylara ilişkin herhangi bir rapor olmadığından başarıları şüpheliydi.
Haddi zatında, Trend Micro’nun keşfi Kötü amaçlı operasyonunu ilerletmek için CVE-2022-22965’i başarılı bir şekilde kullanan bir Mirai botnet varyantı endişe vericidir.
Singapur merkezli saldırılar
Birkaç gün önce başlayan gözlemlenen aktif istismar, Singapur’daki savunmasız web sunucularına odaklanıyor ve bu, tehdit aktörünün operasyonu küresel olarak ölçeklendirmesinden önce bir ön test aşaması olabilir.
Spring4Shell, tehdit aktörlerinin sunucuda uzaktan komutları yürütmek için kullanabilecekleri özel hazırlanmış bir istek aracılığıyla web sunucusunun web köküne bir JSP web kabuğu yazmak için kullanılır.
Bu durumda tehdit aktörleri, Mirai’yi “/tmp” klasörüne indirmek ve yürütmek için uzaktan erişimlerini kullanır.
Tehdit aktörleri, çeşitli CPU mimarileri için birden fazla Mirai örneği alır ve bunları “wget.sh” komut dosyasıyla yürütür.
Hedeflenen mimari ile uyumsuzlukları nedeniyle başarılı bir şekilde çalışmayanlar, ilk çalıştırma aşamasından sonra diskten silinir.
Log4Shell’den Spring4Shell’e
Çeşitli Mirai botnet’leri, Log4Shell (CVE-2021-44228) güvenlik açığından sürekli olarak yararlanan birkaç kişi arasındaydı. geçen aya kadarsavunmasız cihazları DDoS botnetine almak için yaygın olarak kullanılan Log4j yazılımındaki kusurdan yararlanıyor.
Botnet operatörlerinin, yeni cihaz havuzlarından yararlanmak için Spring4Shell gibi potansiyel olarak önemli bir etkiye sahip olabilecek diğer kusurları denemeye başlaması mümkündür.
Bu tür saldırıların fidye yazılımı dağıtımlarına ve veri ihlallerine yol açabileceği düşünüldüğünde, hizmet reddi veya kripto madenciliği için Mirai kaynaklarının ele geçirilmesi durumu nispeten zararsız görünüyor.
Sistemlerin yamalanması devam ettikçe ve savunmasız dağıtımların sayısı azaldıkça, yama uygulanmamış sunucular daha kötü niyetli ağ taramalarında görünecek ve bu da istismar girişimlerine yol açacaktır.
Yöneticilerin, en tehlikeli tehdit grupları istismar çabasına katılmadan önce bu saldırılara kapıyı kapatmak için mümkün olan en kısa sürede Spring Framework 5.3.18 ve 5.2.20’ye ve ayrıca Spring Boot 2.5.12 veya sonraki bir sürümüne yükseltme yapmaları gerekir.