近日，有研究顯示，Mirai惡意軟件正在利用Spring4Shell漏洞感染易受攻擊的web服務(wù)器，并進行DDoS(分布式拒絕服務(wù))攻擊。

Spring4Shell是一個關(guān)鍵遠程代碼執(zhí)行(RCE)漏洞，其追蹤編號為CVE-2022-22965，它會影響廣泛使用的企業(yè)級Java應(yīng)用程序開發(fā)平臺Spring框架。

就在該零日漏洞被發(fā)現(xiàn)后的幾天，Spring緊急發(fā)布了補丁以修復(fù)漏洞。當(dāng)然，攻擊者對易受攻擊網(wǎng)絡(luò)的部署則是木已成舟，難以挽回了。

微軟和Check Point曾多次檢測到利用Spring4Shell的攻擊，然而，多專業(yè)人士卻懷疑它的危害性，因為截至目前仍未有關(guān)于該漏洞的大規(guī)模事件報告。可正因如此，趨勢科技(Trend Micro's)近日發(fā)現(xiàn)的Mirai僵尸網(wǎng)絡(luò)變種已成功利用CVE-2022-22965漏洞推進其惡意操作就顯得令人擔(dān)憂了。

攻擊的矛頭對準新加坡

專業(yè)人士觀察到，攻擊開始活躍于幾天前，其主要針對的是位于新加坡的易受攻擊的web服務(wù)器。對此，專業(yè)人士分析這很有可能是攻擊者在全球范圍內(nèi)擴大行動之前做的初步測試。

攻擊者利用Spring4Shell，通過一個特別設(shè)計的請求，將一個JSP web shell編寫到web服務(wù)器的webroot中，如此就可以使用這個請求在服務(wù)器上遠程執(zhí)行命令。

在本例中，攻擊者使用遠程訪問將Mirai下載到“/tmp”文件夾并執(zhí)行它。

攻擊中使用的請求和命令【來源：趨勢科技】

攻擊者獲取不同CPU架構(gòu)的多個Mirai樣本，并使用“wget.sh”腳本執(zhí)行它們。

腳本獲取各種Mirai樣本【來源：趨勢科技】

那些與目標架構(gòu)不兼容而不能成功運行的程序則會在初始執(zhí)行階段之后從磁盤上刪除。

從Log4Shell到Spring4Shell

上個月之前，Mirai僵尸網(wǎng)絡(luò)是少數(shù)幾個持續(xù)利用Log4Shell(CVE-2021-44228)漏洞的惡意軟件之一，其通常利用廣泛存在于軟件中的Log4j漏洞對易受攻擊的設(shè)備進行DDoS攻擊。

而現(xiàn)在，僵尸網(wǎng)絡(luò)的運營者可能正在轉(zhuǎn)而嘗試其他可能產(chǎn)生大影響的缺陷，比如Spring4Shell，以對更多的設(shè)備進行攻擊。

有意思的是，這些類型的攻擊經(jīng)常會導(dǎo)致勒索軟件部署和數(shù)據(jù)泄露，在這樣的語境下，Mirai因拒絕服務(wù)或加密挖礦而劫持資源的案例反而顯得似乎相對無害。

隨著系統(tǒng)補丁的陸續(xù)推出和攻擊部署本身的數(shù)量下降，未打補丁的服務(wù)器將更容易被惡意網(wǎng)絡(luò)掃描并利用。因此，專業(yè)人士建議網(wǎng)絡(luò)管理員需要盡快將系統(tǒng)升級到Spring Framework 5.3.18和5.2.20，以及Spring Boot 2.5.12或更高版本。

參考來源：https://www.bleepingcomputer.com/news/security/mirai-malware-now-delivered-using-spring4shell-exploits/