Le logiciel malveillant Mirai exploite désormais l’exploit Spring4Shell pour infecter les serveurs Web vulnérables et les recruter pour des attaques DDoS (déni de service distribué).
Spring4Shell est un vulnérabilité critique d’exécution de code à distance (RCE) suivi comme CVE-2022-22965, affectant Spring Framework, une plate-forme de développement d’applications Java largement utilisée au niveau de l’entreprise.
Spring a publié des mises à jour d’urgence pour corriger la faille zero-day quelques jours après sa découverte, mais l’exploitation des déploiements vulnérables par les acteurs de la menace était déjà en cours.
Bien que Microsoft et CheckPoint aient détecté de nombreuses attaques utilisant Spring4Shell dans la nature, leur succès était douteux car aucun incident à grande échelle impliquant la vulnérabilité n’a été signalé.
En tant que tel, La découverte de Trend Micro d’une variante de botnet Mirai utilisant avec succès CVE-2022-22965 pour faire avancer son opération malveillante est préoccupante.
Attaques concentrées sur Singapour
L’exploitation active observée, qui a commencé il y a quelques jours, se concentre sur les serveurs Web vulnérables à Singapour, ce qui pourrait être une phase de test préliminaire avant que l’acteur de la menace ne mette à l’échelle l’opération à l’échelle mondiale.
Spring4Shell est exploité pour écrire un shell Web JSP dans la racine Web du serveur Web via une requête spécialement conçue, que les pirates peuvent utiliser pour exécuter à distance des commandes sur le serveur.
Dans ce cas, les pirates utilisent leur accès à distance pour télécharger Mirai dans le dossier « /tmp » et l’exécuter.
Les acteurs de la menace récupèrent plusieurs échantillons de Mirai pour différentes architectures de CPU et les exécutent avec le script « wget.sh ».
Ceux qui ne s’exécutent pas correctement en raison de leur incompatibilité avec l’architecture ciblée sont supprimés du disque après l’étape d’exécution initiale.
De Log4Shell à Spring4Shell
Divers botnets Mirai figuraient parmi les rares exploiteurs persistants de la vulnérabilité Log4Shell (CVE-2021-44228) jusqu’au mois dernier, tirant parti de la faille du logiciel Log4j largement utilisé pour recruter des appareils vulnérables sur son botnet DDoS.
Il est possible que les opérateurs de botnet se tournent maintenant vers d’autres failles qui ont potentiellement un impact considérable, comme Spring4Shell, pour exploiter de nouveaux pools d’appareils.
Considérant que ces types d’attaques pourraient conduire à des déploiements de ransomwares et à des violations de données, le cas du détournement de ressources Mirai pour déni de service ou crypto-minage semble relativement inoffensif.
Au fur et à mesure que la correction des systèmes se poursuit et que le nombre de déploiements vulnérables diminue, les serveurs non corrigés apparaîtront dans des analyses de réseau plus malveillantes, entraînant des tentatives d’exploitation.
Les administrateurs doivent mettre à niveau vers Spring Framework 5.3.18 et 5.2.20 dès que possible, ainsi que Spring Boot 2.5.12 ou version ultérieure, pour fermer la porte à ces attaques avant que les groupes de menaces les plus dangereux ne se joignent à l’effort d’exploitation.