Les malfaiteurs ont commencé à abuser de la vulnérabilité Spring4Shell récemment découverte comme vecteur de propagation du botnet Mirai.

Les chercheurs de Trend Micro ont remarqué l’exploitation active de Spring4Shell – une vulnérabilité critique dans le module Core basé sur Java de Spring Framework de VMWare – pour pirater des appareils non corrigés avant de les infecter avec le malware Mirai.

L’exploitation a commencé début avril dans des attaques ciblées sur des systèmes à Singapour, selon Trend Micro.

Exploitation de la vulnérabilité Spring4Shell (CVE-2022-22965) permet aux « acteurs de la menace de télécharger l’échantillon Mirai sur le /tmp dossier et exécutez-les après le changement d’autorisation en utilisant chmod« , un article de blog par Trend Micro explique.

La vulnérabilité peut être utilisée pour déclencher l’exécution de code à distance dans les applications Spring Core dans des circonstances autres que celles par défaut. Le bogue de sécurité ne doit pas être confondu avec CVE-2022-22963 – une vulnérabilité de sécurité distincte affectant la fonction Spring Cloud.

Serveurs attaqués

Spring4Shell affecte les versions de Spring Framework antérieures à 5.2.20, 5.3.18 et Java Development Kit (JDK) version 9 ou supérieure. Apache Tomcat est également affecté – l’environnement de serveur Web contre lequel Trend Micro a détecté des attaques contre les systèmes de ses clients.

Comme indiqué précédemment, le CVE-2022-22965 a également été identifié dans une exploitation limitée mais à l’état sauvage, suscitant des avertissements de la part de la US Cybersecurity and Infrastructure Security Agency et de l’équipe Threat Intelligence de Microsoft. Microsoft a déclaré que la menace avait surgi lors d’attaques contre ses services basés sur le cloud.

Mirai est une souche de logiciels malveillants qui transforme les périphériques réseau exécutant Linux en drones dans un réseau de botnet. Le logiciel malveillant est apparu pour la première fois en août 2016 et a principalement affecté les périphériques matériels tels que les caméras IP et les routeurs domestiques.

Il a pris de l’importance en raison de son abus ultérieur dans plusieurs attaques très médiatisées, y compris un énorme attaque perturbatrice contre le fournisseur DNS Dyn en octobre 2016.

La gorgée quotidienne a posé à Trend Micro une série de questions sur l’exploitation de Spring4Shell pour diffuser Mirai. Pas encore de réponse, mais nous mettrons à jour cette histoire au fur et à mesure que nous en saurons plus.