springshell漏洞成为吸引各路黑客的新目标。安全厂商发现,一直流传在网络上的僵尸网络程序mirai现在又借springshell漏洞感染iot设备。
springshell(或称为spring4shell)是发生在java开发框架springcore的远程程序代码执行漏洞,编号为cve-2022-22965。自3月底被披露后,微软已经发现azure云计算服务的springshell漏洞遭黑客开采。
spring发出公告后不到一天,安全厂商奇虎360(qihoo 360)首先在其诱捕系统上发现多个webshell,但mirai是第一个利用cve-2022-22965的僵尸网络程序。
趋势科技也于4月初观测到springshell漏洞的开采活动,使攻击者得以武装化(weaponize)以执行mirai。黑客将mirai下载到iot设备的/tmp文件夹,利用chmod指令变更许可后执行。此外,趋势科技也在网络上发现恶意文件服务器,内置为不同cpu架构而设计的其他mirai变种。
mirai经常在重大漏洞一公布后最先用以传播。去年底mirai也是第一个借log4shell漏洞及azure omi传播并攻击未修补系统的恶意程序。
趋势科技指出,目前大部分易受攻击的环境特征为spring framework 5.2.20、5.3.18以前以及jdk 9以后的版本、执行apache tomcat、封装为war(web application archive)、可写入的文件系统如web app或root。此外使用spring参数绑定(parameter binding)以执行非基本的参数类型如pojo(plain old java objects),以及spring-webmvc或pring-webflux有依赖性的环境也有风险。
奇虎360分析针对springshell漏洞进行扫描活动的ip地址分布,数量最多的国家分别是美国、荷兰、德国及中国。
spring开发组织已经针对springshell及另二个发生在spring框架的漏洞发布修补程序(2022-22950及cve-2022-22963)。