Le malware Mirai est désormais distribué à l'aide des exploits Spring4Shell

  • Principal
  • Nouvelles
  • Le malware Mirai est désormais distribué à l'aide des exploits Spring4Shell

Le malware Mirai exploite désormais l'exploit Spring4Shell pour infecter les serveurs Web vulnérables et les recruter pour des attaques DDoS (Distributed Denial of Service).

Spring4Shell est une vulnérabilité critique d'exécution de code à distance (RCE) identifiée comme CVE-2022-22965, affectant Spring Framework, une plate-forme de développement d'applications Java de niveau entreprise largement utilisée.

Spring a publié des mises à jour d'urgence pour corriger la faille zero-day quelques jours après sa découverte, mais l'exploitation d'implémentations vulnérables par des acteurs de la menace était déjà en cours.

Bien que Microsoft et CheckPoint aient détecté de nombreuses attaques utilisant Spring4Shell dans la nature, leur succès était douteux car aucun incident à grande échelle lié à la vulnérabilité n'a été signalé.

En tant que tel, la découverte par Trend Micro d'une variante du botnet Mirai utilisant avec succès CVE-2022-22965 pour faire avancer son opération malveillante est préoccupante.

Attaques concentrées sur Singapour

L'exploit actif observé, qui a commencé il y a quelques jours, cible des serveurs Web vulnérables à Singapour, ce qui pourrait être une phase de test préliminaire avant que l'acteur de la menace ne mette à l'échelle l'opération à l'échelle mondiale.

Spring4Shell est exploité pour écrire un shell Web JSP à la racine Web du serveur Web via une requête spécialement conçue, que les pirates peuvent utiliser pour exécuter des commandes sur le serveur à distance.

Dans ce cas, les auteurs de menaces utilisent leur accès à distance pour télécharger Mirai dans le dossier '/tmp' et l'exécuter.

Requête et commandes utilisées dans cette attaque

Requête et commandes utilisées dans cette attaque (Tendance Micro)

Les hackers obtiennent plusieurs échantillons de Mirai pour différentes architectures de CPU et les exécutent avec le script « wget.sh ».

Script qui obtient les différents échantillons de Mirai

Script qui obtient plusieurs échantillons de Mirai (Tendance Micro)

Ceux qui ne s'exécutent pas en raison d'une incompatibilité avec l'architecture cible sont supprimés du disque après l'étape d'exécution initiale.

De Log4Shell à Spring4Shell

Plusieurs botnets Mirai figuraient parmi les rares exploiteurs persistants de la vulnérabilité Log4Shell (CVE-2021-44228) jusqu'au mois dernier, profitant de la faille du logiciel Log4j largement utilisé pour recruter des appareils vulnérables dans leur botnet DDoS.

Les opérateurs de botnet peuvent désormais recourir à l'expérimentation d'autres failles potentiellement impactantes, telles que Spring4Shell, pour accéder à de nouveaux groupes d'appareils.

Considérant que ces types d'attaques pourraient entraîner des déploiements de ransomwares et des fuites de données, le cas du détournement de ressources de Mirai par déni de service ou cryptomining semble relativement anodin.

Au fur et à mesure que la correction des systèmes se poursuit et que le nombre de déploiements vulnérables diminue, les serveurs non corrigés apparaîtront dans davantage d'analyses de réseau malveillantes, entraînant des tentatives d'exploitation.

Les administrateurs doivent mettre à jour Spring Framework 5.3.18 et 5.2.20 dès que possible, ainsi que Spring Boot 2.5.12 ou version ultérieure, pour fermer la porte à ces attaques avant que des groupes de menaces plus dangereux ne se joignent à l'effort. exploitation.

Qu'est-ce que tu penses?