近日,研究表明Mirai恶意软件利用Spring4Shell漏洞感染易受攻击的Web服务器并进行DDoS(分布式拒绝服务)攻击。Spring4Shell是一个严重的远程代码执行(RCE)漏洞,跟踪号为CVE-2022-22965,影响广泛使用的企业级Java应用程序开发平台SpringFramework。就在零日漏洞被发现几天后,Spring紧急发布补丁修复了该漏洞。当然,攻击者对易受攻击网络的部署是既成且不可逆转的。Microsoft和CheckPoint已多次检测到使用Spring4Shell进行的攻击,但是,由于目前还没有关于该漏洞的大规模事件报告,因此多位专业人士对其危害性持怀疑态度。但也正因如此,最近趋势科技发现的Mirai僵尸网络变种已成功利用CVE-2022-22965漏洞进行恶意操作,令人担忧。针对新加坡的攻击专业人士观察到,该攻击在几天前开始活跃,主要针对位于新加坡的易受攻击的Web服务器。对此,专业人士分析称,这很可能是攻击者在向全球扩张业务之前所做的初步测试。攻击者使用Spring4Shell通过一个特殊设计的请求将一个JSPwebshell写入到web服务器的webroot中,从而可以利用该请求在服务器上远程执行命令。在此示例中,攻击者使用远程访问将Mirai下载到“/tmp”文件夹并执行它。攻击中使用的请求和命令[来源:趋势科技]攻击者获得了多个不同CPU架构的Mirai样本,并使用“wget.sh”脚本执行它们。获取各种Mirai示例的脚本[来源:TrendMicro]那些与目标架构不兼容以成功运行的脚本会在初始执行阶段后从磁盘中删除。从Log4Shell到Spring4Shell上个月之前,Mirai僵尸网络是为数不多的持续利用Log4Shell(CVE-2021-44228)漏洞的恶意软件之一,该漏洞通常利用软件中广泛存在的Log4j漏洞,针对易受攻击的设备进行DDoS攻击。现在,僵尸网络运营商可能会转向其他潜在的高影响漏洞,例如Spring4Shell,以瞄准更多设备。有趣的是,这些类型的攻击通常会导致勒索软件部署和数据泄露,并且在Mirai劫持资源以进行拒绝服务或加密挖矿的情况下似乎相对无害。随着系统补丁的推出和攻击部署本身的数量下降,未打补丁的服务器将更容易被恶意网络扫描和利用。因此专业人士建议网络管理员尽快将系统升级到SpringFramework5.3.18和5.2.20,以及SpringBoot2.5.12或更高版本。参考来源:https://www.bleepingcomputer.com/news/security/mirai-malware-now-delivered-using-spring4shell-exploits/
