聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Mirai 恶意软件正在利用 Spring4Shell exploit 感染易受攻击的 web 服务器并将其纳入DDoS（分布式拒绝服务）攻击。

Spring4Shell 是一个严重的远程代码执行 (RCE) 漏洞 (CVE-2022-22965)，影响广泛使用的企业级 Java app 开发平台 Spring Framework。在该漏洞被发现几天后，Spring 紧急修复，不过当时已遭攻击者滥用。

虽然微软和 CheckPoint 公司检测到很多攻击活动在野利用 Spring4Shell，但由于没有关于该漏洞遭利用的大规模攻击事件报告，因此攻击者的成功值得怀疑。正因如此，趋势科技发现某 Mirai 僵尸网络变体成功利用该漏洞推动恶意活动才值得担心。

攻击瞄准新加坡

该攻击活动发生在几天前，主要针对的是位于新加坡的易受攻击的web服务器，这可能是攻击者将恶意攻击扩展到全球的预先测试阶段。

攻击者利用Spring4Shell 漏洞，通过构造请求将 JSP web shell 写入 web 服务器的webroot，从而使其能够在服务器上远程执行命令。在这种情况下，该威胁行动者利用远程访问权限将 Mirai 下载到 “/tmp”文件夹并执行。

攻击者提取了针对多个CPU架构的多个 Mirai 样本，并以 “wget.sh”脚本进行执行。

首次执行后，那些因不兼容目标基础架构而无法成功运行的样本将被从磁盘删除。

从Log4Shell 到 Spring4Shell

上个月之前，多种 Mirai 僵尸网络是少数几个Log4Shell 漏洞的持续利用者，他们利用广泛使用的 Log4j 软件中的漏洞奖易受攻击设备纳入DDoS 僵尸网络中。

很可能僵尸网络操纵人员现在开始实验可产生巨大影响的其它缺陷了，如Spring4Shell，以吸纳新的设备。鉴于这些攻击类型可能导致勒索软件部署和数据泄露事件，因此，Mirai 劫持资源进行拒绝服务或密币挖掘看起来似乎相对无害。随着继续给系统打补丁以及易受攻击部署数量的下降，未修复服务器将出现在更多的恶意网络扫描中，从而导致遭利用。

管理员需要尽快更新至 Spring Framework 5.3.18和5.2.20、Spring Boot 2.5.12或后续版本，以免遭利用。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

【安全风险通告】Spring Framework远程代码执行漏洞(CVE-2022-22965)安全风险通告第二次更新

Apache Struts 和 Spring 开源漏洞状况的对比

【缺陷周话】第44期：Spring Boot 配置错误：不安全的 Actuator

Mirai 新变体利用严重漏洞攻击网络安全设备

原文链接

https://www.bleepingcomputer.com/news/security/mirai-malware-now-delivered-using-spring4shell-exploits/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~