ΑρχικήsecurityΤο malware Mirai παραδίδεται πλέον με χρήση των Spring4Shell exploits

Το malware Mirai παραδίδεται πλέον με χρήση των Spring4Shell exploits

Το malware Mirai αξιοποιεί τώρα το exploit Spring4Shell για να μολύνει ευάλωτους web servers και να τους στρατολογεί για επιθέσεις DDoS (distributed denial of service).

Zyxel

Δείτε επίσης: Google: Νέες αλλαγές στη πολιτική ενισχύουν την ασφάλεια του Android

Το Spring4Shell είναι μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) που παρακολουθείται ως CVE-2022-22965, επηρεάζοντας το Spring Framework, μια ευρέως χρησιμοποιούμενη πλατφόρμα ανάπτυξης εφαρμογών Java σε εταιρικό επίπεδο.

Η Spring κυκλοφόρησε ενημερώσεις έκτακτης ανάγκης για να διορθώσει το zero-day ελάττωμα λίγες ημέρες μετά την ανακάλυψή του, αλλά το exploitation των ευάλωτων εγκαταστάσεων από τους απειλητικούς φορείς ήταν ήδη σε εξέλιξη.

Ενώ η Microsoft και η CheckPoint εντόπισαν πολλές επιθέσεις που αξιοποιούν το Spring4Shell, η επιτυχία τους ήταν αμφίβολη καθώς δεν υπήρξαν αναφορές για περιστατικά μεγάλης κλίμακας που αφορούσαν την ευπάθεια.

Ως εκ τούτου, η ανακάλυψη από την Trend Micro μιας παραλλαγής botnet Mirai που χρησιμοποιεί επιτυχώς το CVE-2022-22965 για την προώθηση της κακόβουλης λειτουργίας της προκαλεί ανησυχία.

Δείτε επίσης: Microsoft: Εμπόδισε επιθέσεις κατά της Ουκρανίας καταργώντας domains της ρωσικής APT28

Mirai

Για να κάνει τα πράγματα χειρότερα, η διαρροή του πηγαίου κώδικα του Mirai τον Οκτώβριο του 2016 γέννησε πολυάριθμες παραλλαγές όπως το Okiru, το Satori, το Masuta και το Reaper, καθιστώντας τον μια διαρκώς μεταλλασσόμενη απειλή.

Τον Ιανουάριο, η εταιρεία κυβερνοασφάλειας CrowdStrike σημείωσε ότι το malware που χτυπά συστήματα Linux αυξήθηκε κατά 35% το 2021 σε σύγκριση με το 2020, με τις οικογένειες κακόβουλων προγραμμάτων XOR DDoS, Mirai και Mozi να αντιπροσωπεύουν περισσότερο από το 22% των απειλών που στοχεύουν το Linux που εντοπίστηκαν μέσα στην χρονιά.

«Ο πρωταρχικός σκοπός αυτών των οικογενειών κακόβουλου λογισμικού είναι να διακυβεύουν ευάλωτες συσκευές συνδεδεμένες στο Διαδίκτυο, να τις συγκεντρώνουν σε botnet και να τις χρησιμοποιούν για την εκτέλεση κατανεμημένων επιθέσεων άρνησης υπηρεσίας (DDoS)», δήλωσαν οι ερευνητές.

Οι επιθέσεις επικεντρώθηκαν στη Σιγκαπούρη

Το ενεργό exploitation, το οποίο ξεκίνησε πριν από λίγες ημέρες, επικεντρώνεται σε ευάλωτους web servers στη Σιγκαπούρη, οι οποίοι θα μπορούσαν να είναι μια προκαταρκτική φάση δοκιμής προτού ο απειλητικός παράγοντας κλιμακώσει τη λειτουργία σε παγκόσμιο επίπεδο.

Το Spring4Shell χρησιμοποιείται για την εγγραφή ενός JSP web shell στο webroot του web server μέσω ενός ειδικά διαμορφωμένου αιτήματος, το οποίο οι απειλητικοί φορείς μπορούν να χρησιμοποιήσουν για να εκτελέσουν εντολές στον server εξ αποστάσεως.

Δείτε επίσης: Η αλυσίδα The Works κλείνει καταστήματα μετά από κυβερνοεπίθεση

Σε αυτήν την περίπτωση, οι απειλητικοί φορείς χρησιμοποιούν την απομακρυσμένη πρόσβασή τους για να κατεβάσουν το Mirai στο φάκελο “/tmp” και να το εκτελέσουν.

Spring4Shell

Οι χάκερ ανακτούν πολλαπλά δείγματα Mirai για διάφορες αρχιτεκτονικές CPU και τα εκτελούν με το script “wget.sh”.

Mirai Spring4Shell

Αυτά που δεν εκτελούνται με επιτυχία λόγω της ασυμβατότητάς τους με τη στοχευμένη αρχιτεκτονική διαγράφονται από το δίσκο μετά το αρχικό στάδιο εκτέλεσης.

Από το Log4Shell στο Spring4Shell

Διάφορα botnet Mirai ήταν από τα λίγα επίμονα exploiters της ευπάθειας Log4Shell (CVE-2021-44228) μέχρι τον περασμένο μήνα, αξιοποιώντας το ελάττωμα στο ευρέως χρησιμοποιούμενο software Log4j για τη στρατολόγηση ευάλωτων συσκευών στο botnet DDoS.

Είναι πιθανό οι χειριστές botnet να στραφούν τώρα να πειραματιστούν με άλλα ελαττώματα που δυνητικά έχουν σημαντικό αντίκτυπο, όπως το Spring4Shell, για να αξιοποιήσουν νέες ομάδες συσκευών.

Λαμβάνοντας υπόψη ότι αυτοί οι τύποι επιθέσεων θα μπορούσαν να οδηγήσουν σε ransomware deployments και παραβιάσεις δεδομένων, η περίπτωση του Mirai resource hijacking για denial of service ή crypto-mining φαίνεται σχετικά ακίνδυνη.

Καθώς η επιδιόρθωση των συστημάτων συνεχίζεται και ο αριθμός των ευάλωτων deployments μειώνεται, οι unpatched servers θα εμφανίζονται σε πιο κακόβουλα network scans, οδηγώντας σε απόπειρες exploitation.

Οι διαχειριστές πρέπει να κάνουν αναβάθμιση σε Spring Framework 5.3.18 και 5.2.20 το συντομότερο δυνατό, καθώς και Spring Boot 2.5.12 ή μεταγενέστερη έκδοση, για να κλείσουν την πόρτα σε αυτές τις επιθέσεις προτού οι πιο επικίνδυνες απειλητικές ομάδες ενταχθούν στην προσπάθεια exploit.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS