MIRAI ВЕЧЕ СЕ РАЗПРОСТРАНЯВА ЧРЕЗ ЕКСПЛОЙТИ НА SPRING4SHELL

Зловредният софтуер Mirai сега използва експлойта на Spring4Shell, за да зарази уязвими уеб сървъри и да ги наеме за DDoS (разпределен отказ на услуга) атаки.

Spring4Shell е критична уязвимост при дистанционно изпълнение на код (RCE), проследявана като CVE-2022-22965, засягаща Spring Framework, широко използвана платформа за разработка на Java приложения на ниво предприятие.

Spring пусна спешни актуализации, за да поправи недостатъка няколко дни след откриването му, но експлоатацията на уязвимите внедрявания от страна на хакерите вече беше в ход.

Докато Microsoft и CheckPoint откриха много атаки, използващи Spring4Shell в реалния свят, успехът им беше съмнителен, тъй като нямаше съобщения за мащабни инциденти, включващи уязвимостта.

Затова откриването от Trend Micro на вариант на ботнет на Mirai, който успешно използва CVE-2022-22965 за усъвършенстване на злонамерената си операция, предизвиква загриженост.

Атаките са насочени към Сингапур

Наблюдаваната активна експлоатация, която започна преди няколко дни, се фокусира върху уязвими уеб сървъри в Сингапур, което може да бъде предварителна фаза на тестване, преди хакерите да ескалират операцията в световен мащаб.

Spring4Shell се използва за записване на JSP уеб обвивка в уеб руута на уеб сървъра чрез специално изработена заявка, която престъпниците  могат да използват за изпълнение на команди на сървъра от разстояние.

В този случай заплахите използват своя отдалечен достъп, за да изтеглят Mirai в папката „/tmp“ и да го изпълнят.

Бандите извличат множество образци на Mirai за различни архитектури на процесора и ги изпълняват със скрипта „wget.sh“.

Тези, които не работят успешно поради тяхната несъвместимост с целевата архитектура, се изтриват от диска след началния етап на изпълнение.

От Log4Shell до Spring4Shell

Различни ботнети Mirai бяха сред малкото постоянни експлоататори на уязвимостта Log4Shell (CVE-2021-44228) до миналия месец, като използваха недостатъка в широко използвания софтуер Log4j за набиране на уязвими устройства в своя DDoS ботнет.

Възможно е операторите на ботнет да се обърнат към експерименти с други недостатъци, които потенциално имат значително влияние, като Spring4Shell, за да се възползват от нови пулове от устройства.

Като се има предвид, че тези видове атаки могат да доведат до внедряване на ransomware и пробиви на данни, случаят с отвличане на ресурси на Mirai за отказ на услуга или копаене на криптовалута изглежда сравнително безвреден.

Тъй като корекциите на системите продължават и броят на уязвимите внедрявания намалява, непокритите сървъри ще се появяват при по-зловредни мрежови сканирания, което води до опити за експлоатация.

Администраторите трябва да надстроят до Spring Framework 5.3.18 и 5.2.20 възможно най-скоро, както и до Spring Boot 2.5.12 или по-нова версия, за да затворят вратата за тези атаки, преди най-опасните групи да се присъединят към опитите за експлойт.

 

 

Източник: По материали от Интернет

Подобни публикации

6 февруари 2023

Новият крипто токен Dingo начислява такса за тр...

Изследователи от компанията за ИТ сигурност Check Point security са...
6 февруари 2023

#9 Cyber Security Talks Bulgaria ще се проведе...

След страхотното събитие на КиберКЛУБ // CyberCLUB е отново време з...
4 февруари 2023

Нов рансъмуер използва грешка във VMware и се ...

Хипервайзорите VMware ESXi са мишена на нова вълна от атаки, предна...
3 февруари 2023

Разкрити са нови уязвимости в сигурността при е...

Две нови слабости в сигурността, открити в няколко системи за зареж...
3 февруари 2023

Google Ads популяризира "виртуализиран" зловред...

Продължаваща кампания за злонамерена реклама в Google разпространяв...
2 февруари 2023

Нови варианти на руския шпионския софтуер Gamar...

Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално...
1 февруари 2023

Microsoft спря продажбата на Windows 10 по-рано

Слагайки край на една епоха, Microsoft вече не продава директно про...
1 февруари 2023

Как правилно да скриете чувствителен текст в PD...

Цифровите документи вече са важна част от повечето бизнес и правите...
Бъдете социални
Още по темата
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
03/02/2023

Google Ads популяризира "ви...

Продължаваща кампания за злонамерена реклама в...
28/01/2023

Украйна: Sandworm удари ин...

Украинският екип за реагиране при компютърни...
Последно добавени
06/02/2023

Новият крипто токен Dingo н...

Изследователи от компанията за ИТ сигурност...
06/02/2023

#9 Cyber Security Talks Bul...

След страхотното събитие на КиберКЛУБ //...
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!