SpringShell漏洞成为吸引各路黑客的新目标。安全厂商发现,一直流传在网络上的僵尸网络程序Mirai现在又借SpringShell漏洞感染IoT设备。
SpringShell(或称为Spring4Shell)是发生在Java开发框架SpringCore的远程程序代码执行漏洞,编号为CVE-2022-22965。自3月底被披露后,微软已经发现Azure云计算服务的SpringShell漏洞遭黑客开采。
Spring发出公告后不到一天,安全厂商奇虎360(Qihoo 360)首先在其诱捕系统上发现多个webshell,但Mirai是第一个利用CVE-2022-22965的僵尸网络程序。
趋势科技也于4月初观测到SpringShell漏洞的开采活动,使攻击者得以武装化(weaponize)以执行Mirai。黑客将Mirai下载到IoT设备的/tmp文件夹,利用chmod指令变更许可后执行。此外,趋势科技也在网络上发现恶意文件服务器,内置为不同CPU架构而设计的其他Mirai变种。
Mirai经常在重大漏洞一公布后最先用以传播。去年底Mirai也是第一个借Log4Shell漏洞及Azure OMI传播并攻击未修补系统的恶意程序。
趋势科技指出,目前大部分易受攻击的环境特征为Spring Framework 5.2.20、5.3.18以前以及JDK 9以后的版本、执行Apache Tomcat、封装为WAR(Web Application Archive)、可写入的文件系统如Web App或ROOT。此外使用Spring参数绑定(parameter binding)以执行非基本的参数类型如POJO(Plain Old Java Objects),以及Spring-webmvc或pring-webflux有依赖性的环境也有风险。
奇虎360分析针对SpringShell漏洞进行扫描活动的IP地址分布,数量最多的国家分别是美国、荷兰、德国及中国。
Spring开发组织已经针对SpringShell及另二个发生在Spring框架的漏洞发布修补程序(2022-22950及CVE-2022-22963)。