Το malware Mirai αξιοποιεί τώρα το exploit Spring4Shell για να μολύνει ευάλωτους web servers και να τους στρατολογεί για επιθέσεις DDoS (distributed denial of service).
Δείτε επίσης: Google: Νέες αλλαγές στη πολιτική ενισχύουν την ασφάλεια του Android
Το Spring4Shell είναι μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) που παρακολουθείται ως CVE-2022-22965, επηρεάζοντας το Spring Framework, μια ευρέως χρησιμοποιούμενη πλατφόρμα ανάπτυξης εφαρμογών Java σε εταιρικό επίπεδο.
Η Spring κυκλοφόρησε ενημερώσεις έκτακτης ανάγκης για να διορθώσει το zero-day ελάττωμα λίγες ημέρες μετά την ανακάλυψή του, αλλά το exploitation των ευάλωτων εγκαταστάσεων από τους απειλητικούς φορείς ήταν ήδη σε εξέλιξη.
Ενώ η Microsoft και η CheckPoint εντόπισαν πολλές επιθέσεις που αξιοποιούν το Spring4Shell, η επιτυχία τους ήταν αμφίβολη καθώς δεν υπήρξαν αναφορές για περιστατικά μεγάλης κλίμακας που αφορούσαν την ευπάθεια.
Ως εκ τούτου, η ανακάλυψη από την Trend Micro μιας παραλλαγής botnet Mirai που χρησιμοποιεί επιτυχώς το CVE-2022-22965 για την προώθηση της κακόβουλης λειτουργίας της προκαλεί ανησυχία.
Δείτε επίσης: Microsoft: Εμπόδισε επιθέσεις κατά της Ουκρανίας καταργώντας domains της ρωσικής APT28
Mirai
Για να κάνει τα πράγματα χειρότερα, η διαρροή του πηγαίου κώδικα του Mirai τον Οκτώβριο του 2016 γέννησε πολυάριθμες παραλλαγές όπως το Okiru, το Satori, το Masuta και το Reaper, καθιστώντας τον μια διαρκώς μεταλλασσόμενη απειλή.
Τον Ιανουάριο, η εταιρεία κυβερνοασφάλειας CrowdStrike σημείωσε ότι το malware που χτυπά συστήματα Linux αυξήθηκε κατά 35% το 2021 σε σύγκριση με το 2020, με τις οικογένειες κακόβουλων προγραμμάτων XOR DDoS, Mirai και Mozi να αντιπροσωπεύουν περισσότερο από το 22% των απειλών που στοχεύουν το Linux που εντοπίστηκαν μέσα στην χρονιά.
«Ο πρωταρχικός σκοπός αυτών των οικογενειών κακόβουλου λογισμικού είναι να διακυβεύουν ευάλωτες συσκευές συνδεδεμένες στο Διαδίκτυο, να τις συγκεντρώνουν σε botnet και να τις χρησιμοποιούν για την εκτέλεση κατανεμημένων επιθέσεων άρνησης υπηρεσίας (DDoS)», δήλωσαν οι ερευνητές.
Οι επιθέσεις επικεντρώθηκαν στη Σιγκαπούρη
Το ενεργό exploitation, το οποίο ξεκίνησε πριν από λίγες ημέρες, επικεντρώνεται σε ευάλωτους web servers στη Σιγκαπούρη, οι οποίοι θα μπορούσαν να είναι μια προκαταρκτική φάση δοκιμής προτού ο απειλητικός παράγοντας κλιμακώσει τη λειτουργία σε παγκόσμιο επίπεδο.
Το Spring4Shell χρησιμοποιείται για την εγγραφή ενός JSP web shell στο webroot του web server μέσω ενός ειδικά διαμορφωμένου αιτήματος, το οποίο οι απειλητικοί φορείς μπορούν να χρησιμοποιήσουν για να εκτελέσουν εντολές στον server εξ αποστάσεως.
Δείτε επίσης: Η αλυσίδα The Works κλείνει καταστήματα μετά από κυβερνοεπίθεση
Σε αυτήν την περίπτωση, οι απειλητικοί φορείς χρησιμοποιούν την απομακρυσμένη πρόσβασή τους για να κατεβάσουν το Mirai στο φάκελο “/tmp” και να το εκτελέσουν.
Οι χάκερ ανακτούν πολλαπλά δείγματα Mirai για διάφορες αρχιτεκτονικές CPU και τα εκτελούν με το script “wget.sh”.
Αυτά που δεν εκτελούνται με επιτυχία λόγω της ασυμβατότητάς τους με τη στοχευμένη αρχιτεκτονική διαγράφονται από το δίσκο μετά το αρχικό στάδιο εκτέλεσης.
Από το Log4Shell στο Spring4Shell
Διάφορα botnet Mirai ήταν από τα λίγα επίμονα exploiters της ευπάθειας Log4Shell (CVE-2021-44228) μέχρι τον περασμένο μήνα, αξιοποιώντας το ελάττωμα στο ευρέως χρησιμοποιούμενο software Log4j για τη στρατολόγηση ευάλωτων συσκευών στο botnet DDoS.
Είναι πιθανό οι χειριστές botnet να στραφούν τώρα να πειραματιστούν με άλλα ελαττώματα που δυνητικά έχουν σημαντικό αντίκτυπο, όπως το Spring4Shell, για να αξιοποιήσουν νέες ομάδες συσκευών.
Λαμβάνοντας υπόψη ότι αυτοί οι τύποι επιθέσεων θα μπορούσαν να οδηγήσουν σε ransomware deployments και παραβιάσεις δεδομένων, η περίπτωση του Mirai resource hijacking για denial of service ή crypto-mining φαίνεται σχετικά ακίνδυνη.
Καθώς η επιδιόρθωση των συστημάτων συνεχίζεται και ο αριθμός των ευάλωτων deployments μειώνεται, οι unpatched servers θα εμφανίζονται σε πιο κακόβουλα network scans, οδηγώντας σε απόπειρες exploitation.
Οι διαχειριστές πρέπει να κάνουν αναβάθμιση σε Spring Framework 5.3.18 και 5.2.20 το συντομότερο δυνατό, καθώς και Spring Boot 2.5.12 ή μεταγενέστερη έκδοση, για να κλείσουν την πόρτα σε αυτές τις επιθέσεις προτού οι πιο επικίνδυνες απειλητικές ομάδες ενταχθούν στην προσπάθεια exploit.
Πηγή πληροφοριών: bleepingcomputer.com