Según Trend, los piratas informáticos han armado SpringShell para instalar el malware Mirai

imágenes falsas

Los investigadores dijeron el viernes que los piratas informáticos están explotando la vulnerabilidad SpringShell recientemente descubierta para infectar con éxito dispositivos vulnerables de Internet de las cosas con Mirai, un malware de código abierto que convierte los enrutadores y otros dispositivos conectados a la red en redes de bots en expansión.

Cuando SpringShell (también conocido como Spring4Shell) salió a la luz el domingo pasado, algunos informes lo compararon con Log4Shell, la vulnerabilidad crítica de día cero en la popular utilidad de registro Log4J que afectó a una parte considerable de las aplicaciones en la web. Esta comparación resultó ser exagerada ya que las configuraciones requeridas para que SpringShell funcione no eran de ninguna manera comunes. Hasta el momento, no se sabe que ninguna aplicación real sea vulnerable.

Los investigadores de Trend Micro ahora dicen que los piratas informáticos han desarrollado un exploit armado que instala Mirai con éxito. Una publicación de blog que publicaron no identificó el tipo de dispositivo o la CPU utilizada en los dispositivos infectados. Sin embargo, la publicación decía que un servidor de archivos de malware que encontraron había almacenado múltiples variantes del malware para diferentes arquitecturas de CPU.

spring4shell variants

Tendencia Micro

«Observamos una explotación activa de Spring4Shell, donde los actores malintencionados podían armar el malware de botnet Mirai y ejecutarlo en servidores vulnerables, particularmente en la región de Singapur», escribieron los investigadores de Trend Micro Deep Patel, Nitesh Surana y Ashish verma. Los exploits permiten a los actores de amenazas descargar Mirai en la carpeta /tmp del dispositivo y ejecutarlo con chmod después de cambiar los permisos.

Los ataques surgieron en los honeypots de los investigadores a principios de este mes. Las configuraciones más vulnerables se han configurado para estas dependencias:

  • Versiones de Spring Framework anteriores a 5.2.20, 5.3.18 y Java Development Kit (JDK) versión 9 o posterior
  • gato apache
  • Dependencia de spring-webmvc o spring-webflux
  • Usando un enlace de parámetro Spring configurado para usar un tipo de parámetro no básico, p. B. Objetos Java simples y antiguos (POJO)
  • Desplegable empaquetado como un archivo de aplicación web (WAR)

Trend dijo que el éxito de los piratas informáticos al armar el exploit se debió en gran parte a su capacidad para usar objetos de clase expuestos, lo que les dio múltiples opciones.

«Por ejemplo», escribieron los investigadores, «los actores de amenazas pueden acceder a un objeto AccessLogValve y armar la variable de clase ‘class.module.classLoader.resources.context.parent.pipeline.firstpath’ en Apache Tomcat. Pueden hacerlo redirigiendo el registro de acceso para escribir un shell web en la raíz web mediante la manipulación de las propiedades del objeto AccessLogValve, como el patrón, el sufijo, el directorio y el prefijo».

Es difícil saber exactamente qué hacer con el informe. La falta de detalles y el vínculo geográfico con Singapur pueden indicar que un número limitado de dispositivos son vulnerables, o posiblemente ninguno en absoluto si lo que vio Trend Micro fue una herramienta utilizada por los investigadores. Si no tiene idea de qué o si los dispositivos del mundo real son vulnerables, es difícil proporcionar una evaluación precisa de la amenaza o recomendaciones prácticas sobre cómo evitarla.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí