キャンペーンプッシュミライで虐待されたSpring4Shell

Javaベースの実装は、与え続ける贈り物のようです。冬に誰もが気になっていた脆弱性であるLog4jを悪用するための継続的な取り組みが時折報告されており、SpringCoreJavaライブラリで発見された最新の重大な脆弱性を積極的に悪用するというニュースが寄せられています。

キャンペーンで使用された武器化されたMiraiマルウェア

Spring4Shellを使用した攻撃キャンペーンは、2つの別々のセキュリティ調査会社によって監視されています。現在、研究チームは、Spring4Shellの脆弱性を悪用するために使用されている古い知人を発見しています。

両方のセキュリティ会社は、一般的にボットネットの使用に関連するMiraiマルウェアの武器化されたバージョンが、Spring4Shellの欠陥を積極的に悪用するために使用されていることに気づきました。

MiraiにSpring4Shellの悪用を強いる新しいキャンペーンに対して脆弱なシステムを調査したところ、研究者は悪用されやすいシステムに見られる多くの特徴を発見しました。これには、Springフレームワークの存在、5.2.20より前のパッチの実行、バージョン9以降に更新されたJDKが含まれます。 Spring4Shellの欠陥は、JDK8などの古いJavaDevelopmentKitを実行しているプラットフォームには影響しないことが知られています。

Apache Tomcatと、非基本パラメータータイプを使用するように設定されたSpringパラメーターバインディングの特定の構成も、脆弱なシステムに固有の機能の1つです。

欠陥を悪用し、ミライの日付を3月下旬にプッシュする最初の試み

研究者が運営するハニーポットは、2022年3月の最終日に侵入の最初の試みを検出しました。

Spring4Shellに対して脆弱なシステムに武器化されたMiraiマルウェアを展開する攻撃は、主にシンガポールとその地域にあるターゲットに集中していました。

研究者は、Spring4Shellの脆弱性を悪用しようとする攻撃は、欠陥が十分に文書化されており、脅威アクターも同様に詳細を把握できるため、今後数か月でボリュームが増加するだけであると予想しています。パッチ適用は相変わらず不可欠ですが、Log4jの場合と同様に、ここでの問題はパッチ適用ではなく、脆弱なコードを実行しているシステムの数です。その意味で、パッチが適用されていないシステムの数百万のうち1％でさえ、エクスプロイトの潜在的なターゲットのかなりの数です。