Il malware Mirai sta ora sfruttando l’exploit Spring4Shell per infettare i server web vulnerabili e reclutarli per attacchi DDoS (distributed denial of service).
Spring ha rilasciato aggiornamenti di emergenza per correggere la falla zero-day pochi giorni dopo la sua scoperta, ma lo sfruttamento da parte degli attori della minaccia delle implementazioni vulnerabili era già in corso.
Mentre Microsoft e CheckPoint hanno rilevato molti attacchi che sfruttavano Spring4Shell in natura, il loro successo era dubbio in quanto non c’erano rapporti di incidenti su larga scala che coinvolgevano la vulnerabilità.
Come tale, la scoperta da parte di Trend Micro della variante botnet Mirai che utilizza con successo CVE-2022-22965 per portare avanti la sua operazione dannosa è preoccupante.
Lo sfruttamento attivo osservato, che è iniziato pochi giorni fa, si concentra su dei server web vulnerabili a Singapore, il che potrebbe essere una fase di test preliminare prima che l’attore della minaccia scalerà l’operazione a livello globale.
Spring4Shell viene sfruttato per scrivere una shell web JSP nella webroot del server web tramite una richiesta appositamente elaborata, che gli attori delle minacce possono utilizzare per eseguire comandi sul server in remoto.
In questo caso, gli attori della minaccia usano il loro accesso remoto per scaricare Mirai nella cartella “/tmp” ed eseguirlo.
Gli attori della minaccia recuperano più campioni di Mirai per varie architetture di CPU e li eseguono con lo script “wget.sh“.
Quelli che non vengono eseguiti con successo a causa della loro incompatibilità con l’architettura di destinazione vengono eliminati dal disco dopo la fase di esecuzione iniziale.
Da Log4Shell a Spring4Shell
Varie botnet Mirai sono state tra i pochi persistenti sfruttatori della vulnerabilità Log4Shell (CVE-2021-44228) fino al mese scorso, sfruttando la falla nel software Log4j ampiamente utilizzato per reclutare dispositivi vulnerabili nella sua botnet DDoS.
È possibile che gli operatori di botnet ora si rivolgano a sperimentare altre falle che potenzialmente hanno un impatto notevole, come Spring4Shell, per attingere a nuovi pool di dispositivi.
Considerando che questi tipi di attacchi potrebbero portare a distribuzioni di ransomware e violazioni di dati, il caso di Mirai che dirotta risorse per il denial of service o il crypto-mining appare relativamente innocuo.
Man mano che le patch dei sistemi continuano e il numero di implementazioni vulnerabili diminuisce, i server senza patch appariranno in più scansioni di rete dannose, portando a tentativi di sfruttamento.
Gli amministratori devono aggiornare a Spring Framework 5.3.18 e 5.2.20 il più presto possibile, e anche Spring Boot 2.5.12 o successivo, per chiudere la porta a questi attacchi prima che i gruppi di minacce più pericolosi si uniscano allo sforzo di sfruttamento.
