Los investigadores de seguridad han observado que los atacantes explotan la falla relacionada con Spring4Shell Java para instalar malware en los sistemas de destino.
Los investigadores de las firmas de seguridad Trend Micro y Qihoo 360 vieron cómo surgían los ataques casi tan pronto como el error se hacía público.
Si bien Spring4Shell no es tan nefasto como Log4Shell, la mayoría de las empresas de seguridad, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y Microsoft están instando a los desarrolladores a parchearlo si usan Java Development Kit (JDK) desde la versión 9.0 y superior. si el sistema también usa Spring Framework versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores.
VER: Seguridad de Windows 11: cómo proteger las PC de su hogar y de su pequeña empresa
«Después del 30 de marzo, comenzamos a ver más intentos, como varios webshells, y hoy, 2022-04-01 11:33:09 (GMT + 8), menos de un día después de que el proveedor publicara el aviso, una variante de Mirai , ha ganado la carrera como la primera botnet que adoptó esta vulnerabilidad», señalaron los investigadores de Qihoo 360.
Los investigadores de Trend Micro también han visto algo similar.
«Observamos una explotación activa de Spring4Shell en la que los actores maliciosos pudieron armar y ejecutar el malware de botnet Mirai en servidores vulnerables, específicamente en la región de Singapur», dijeron los investigadores de Trend Micro.
“También encontramos el servidor de archivos de malware con otras variantes para diferentes arquitecturas de CPU”, advirtieron.
La muestra de Mirai se descarga en la carpeta «/tmp».
Trend dice que la mayoría de las configuraciones vulnerables se configuraron con las siguientes características:
- Versiones de Spring Framework anteriores a 5.2.20, 5.3.18 y Java Development Kit (JDK) versión 9 o superior
- gato apache
- Dependencia de spring-webmvc o spring-webflux
- Usar el enlace de parámetros Spring que está configurado para usar un tipo de parámetro no básico, como Plain Old Java Objects (POJO)
- Desplegable, empaquetado como un archivo de aplicación web (WAR)
- Sistema de archivos grabable, como aplicaciones web o ROOT
Los investigadores del equipo de la Unidad 42 de Palo Alto Networks creen que es casi seguro que Spring4Shell será un arma porque fue fácil de explotar y todos los detalles sobre cómo hacerlo se hicieron públicos el 31 de marzo.
“Dado que la explotación es sencilla y todos los detalles técnicos relevantes ya se han vuelto virales en Internet, es posible que SpringShell se convierta en un arma y se abuse de ella a mayor escala”, dijo.
Las principales vulnerabilidades relacionadas con Spring4Shell son CVE-2022-22965, que es un bypass para el parche de 2010 CVE-2010-1622 y CVE-2022-22963.
Mirai y sus muchas variantes siguen siendo una de las mayores amenazas en Internet. Se utilizan para ataques distribuidos de denegación de servicio, ataques a contraseñas y el despliegue de ransomware y mineros de criptomonedas.