Bir siber güvenlik şirketinin istatistiklerine göre, dünya çapında Spring4Shell sıfırıncı gün güvenlik açığından etkilenen yaklaşık altı kuruluştan biri zaten tehdit aktörleri tarafından hedef alındı.
İstismar girişimleri, CVE-2022-22965 olarak izlenen ciddi uzaktan kod yürütme (RCE) kusurunun ve ilişkili yararlanma kodunun açıklanmasından sonraki ilk dört gün içinde gerçekleşti.
Raporu telemetri verilerine dayanarak derleyen Check Point’e göre, yalnızca geçtiğimiz hafta sonu 37.000 Spring4Shell saldırısı tespit edildi.
En çok etkilenen sektör, potansiyel olarak tedarik zinciri saldırıları için mükemmel adaylar olmaları nedeniyle toplamın %28’ini oluşturan yazılım satıcıları gibi görünüyor.
En çok hedeflenen bölgeye gelince, Kontrol Noktası görünürlüklerine göre %20 ile Avrupa’da ilk sırada yer almaktadır.
Bu, savunmasız sistemlere karşı mevcut RCE fırsatlarından yararlanmaya yönelik kötü niyetli çabanın devam ettiğini ve tehdit aktörlerinin yama uygulanmamış sistemlerden yararlanmaya devam ederken Spring4Shell’e geçtiğini gösteriyor.
ABD’de istismar işaretleri
Kuzey Amerika, Check Point’in tespit edilen Spring4Shell saldırılarının %11’ini oluşturuyor ve ABD’deki aktif istismarın onayları da diğer kuruluşlardan geliyor.
Dün, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), gerçek saldırılarda kullanıldığı bilinen kusur kataloğuna, bunlardan biri Spring4Shell olmak üzere dört güvenlik açığı ekledi.
Daha spesifik olarak, ajans, yazılım satıcısının VMware ürünlerini hedef aldığı saldırıların kanıtlarını gördü. yayınlanan güvenlik güncellemeleri ve dün tavsiyeler.
Microsoft ayrıca yayınlanan kılavuz Spring4Shell saldırılarını tespit etmek ve bunlara karşı korunmak için ve halihazırda istismar girişimlerini takip ettiklerini kaydetti.
Microsoft, “Spring Core güvenlik açığı açıklandığından beri, Spring Cloud ve Spring Core güvenlik açıkları için bulut hizmetlerimizde düşük hacimli istismar girişimlerini izliyoruz” dedi.
Spring4Shell saldırılarına karşı koruyun
CVE-2022-22965, JDK 9+ üzerinde çalışan Spring MVC ve Spring WebFlux uygulamalarını etkiler, bu nedenle tüm Java Spring dağıtımları potansiyel saldırı vektörleri olarak düşünülmelidir.
Satıcı serbest bıraktı Spring Framework 5.3.18 ve 5.2.2 sürümlerinin yanı sıra RCE sorununu başarıyla çözen Spring Boot 2.5.12. Bu nedenle, bu sürümlere veya daha sonrasına yükseltme yapılması şiddetle tavsiye edilir.
Ayrıca sistem yöneticileri, Spring Cloud Function ve Spring Cloud Gateway’deki CVE-2022-22963 ve CVE-2022-22947 uzaktan kod yürütme kusurlarını da dikkate almalıdır. Kavram istismarlarının kanıtı çünkü bu kusurlar zaten var ve herkese açık.