Spring4Shell abusado en la campaña empujando a Mirai
Las implementaciones basadas en Java parecen ser el regalo que sigue dando. Con informes ocasionales de esfuerzos en curso para explotar Log4j, la vulnerabilidad que estaba en la mente de todos en invierno, ahora llegan noticias sobre la explotación activa de la última vulnerabilidad significativa descubierta en la biblioteca Spring Core Java.
El malware Mirai armado utilizado en la campaña
La campaña de ataque que usa Spring4Shell está siendo monitoreada por dos firmas de investigación de seguridad separadas. Ahora, los equipos de investigación están detectando a un viejo conocido que se está utilizando para explotar la vulnerabilidad Spring4Shell.
Ambas compañías de seguridad notaron que una versión armada del malware Mirai, comúnmente asociada con el uso de botnet, se estaba utilizando para explotar activamente la falla Spring4Shell.
Al examinar los sistemas vulnerables a la nueva campaña que impulsa a Mirai a abusar de Spring4Shell, los investigadores detectaron una serie de rasgos que se encuentran en los sistemas susceptibles de explotación. Estos incluyen la presencia del marco Spring, la ejecución de parches anteriores a 5.2.20 y el JDK actualizado a las versiones 9 o posteriores. Se sabe que la falla de Spring4Shell no afecta a las plataformas que ejecutan un kit de desarrollo de Java anterior, como JDK 8.
Apache Tomcat y las configuraciones específicas del enlace de parámetros de Spring, configurados para usar un tipo de parámetro no básico, también se encuentran entre las características específicas de los sistemas vulnerables.
Primeros intentos de abusar de la falla y retrasar la fecha de Mirai hasta finales de marzo
Los honeypots operados por investigadores detectaron los primeros intentos de intrusión el último día de marzo de 2022.
Los ataques que desplegaron malware Mirai armado en sistemas vulnerables a Spring4Shell se centraron principalmente en objetivos ubicados en Singapur y la región.
Los investigadores esperan que los ataques que intentan explotar la vulnerabilidad Spring4Shell solo aumenten en volumen en los próximos meses, ya que la falla se ha documentado bien y los detalles están disponibles para que los actores de amenazas también los detecten. La aplicación de parches sigue siendo tan esencial como siempre, pero al igual que en el caso de Log4j, el problema aquí no es la aplicación de parches, sino la gran cantidad de sistemas que ejecutan código vulnerable. En ese sentido, incluso el 1% de los millones de sistemas sin parches es un número significativo de objetivos potenciales para el exploit.