Selon les statistiques d’une entreprise de cybersécurité, environ une organisation sur six dans le monde qui est touchée par la vulnérabilité zero-day Spring4Shell a déjà été ciblée par des acteurs de la menace.
Les tentatives d’exploitation ont eu lieu au cours des quatre premiers jours depuis la divulgation de la grave faille d’exécution de code à distance (RCE), identifiée comme CVE-2022-22965, et du code d’exploitation associé.
Selon Check Point, qui a compilé le rapport sur la base de leurs données de télémétrie, 37 000 attaques Spring4Shell ont été détectées au cours du seul week-end dernier.
L’industrie la plus touchée semble être celle des éditeurs de logiciels, qui représentent 28 % du total, potentiellement parce qu’ils sont d’excellents candidats pour les attaques de la chaîne d’approvisionnement.
Quant à la région la plus ciblée, Point de contrôle classe l’Europe au premier rang avec 20 %, en fonction de sa visibilité.
Cela indique que l’effort malveillant pour tirer parti des opportunités RCE existantes contre les systèmes vulnérables est bien avancé et que les acteurs de la menace semblent se tourner vers Spring4Shell alors qu’ils peuvent encore tirer parti des systèmes non corrigés.
Exploiter les signes aux États-Unis
L’Amérique du Nord représente 11 % des attaques Spring4Shell détectées par Check Point, et les confirmations d’exploitation active aux États-Unis proviennent également d’autres entités.
Hier, la Cybersecurity & Infrastructure Security Agency des États-Unis (CISA) a ajouté quatre vulnérabilités à son catalogue de failles connues pour être exploitées dans des attaques réelles, l’une d’entre elles étant Spring4Shell.
Plus précisément, l’agence a vu des preuves d’attaques ciblant les produits VMware, pour lesquels le fournisseur de logiciels a publié hier des mises à jour de sécurité et des avis.
Microsoft a également publié des conseils pour détecter et se protéger contre les attaques Spring4Shell et a noté qu’ils suivaient déjà les tentatives d’exploitation.
« Depuis l’annonce de la vulnérabilité Spring Core, nous avons suivi un faible volume de tentatives d’exploitation sur nos services cloud pour les vulnérabilités Spring Cloud et Spring Core », a déclaré Microsoft.
Protégez-vous contre les attaques Spring4Shell
CVE-2022-22965 affecte les applications Spring MVC et Spring WebFlux exécutées sur JDK 9+, de sorte que tous les déploiements Java Spring doivent être considérés comme des vecteurs d’attaque potentiels.
Le fournisseur a publié les versions 5.3.18 et 5.2.2 de Spring Framework, ainsi que Spring Boot 2.5.12, qui résolvent avec succès le problème RCE. Par conséquent, il est fortement recommandé de mettre à niveau vers ces versions ou ultérieures.
De plus, les administrateurs système doivent également tenir compte des failles d’exécution de code à distance CVE-2022-22963 et CVE-2022-22947 dans Spring Cloud Function et Spring Cloud Gateway. Des exploits de preuve de concept pour ces failles existent déjà et sont accessibles au public.