Mirai malware now delivered using Spring4Shell exploits
2022/04/08 BleepingComputer — 現在、マルウェア Mirai は、Spring4Shell エクスプロイトを悪用して脆弱な Web サーバーを感染させ、DDoS 攻撃 (分散型サービス拒否攻撃) へと導こうとしている。Spring4Shell とは、CVE-2022-22965 として追跡されているリモートコード実行 (RCE) の深刻な脆弱性であり、エンタープライズ・レベルの Java アプリ開発プラットフォームとして広く利用されている、Spring Framework に影響を及ぼすものだ。
このゼロデイ脆弱性が発見された数日後に、Spring は緊急アップデートをリリースし、問題を修正したが、すでに脅威アクターによる脆弱性の悪用は始まっていた。Microsoft と CheckPoint は、Spring4Shell を利用した数多くの攻撃を検出したが、この脆弱性を含む大規模なインシデントの報告はなく、その影響力は疑問視されていた。そのため、Trend Micro が発見した Mirai ボットネットの亜種が、この脆弱性 CVE-2022-22965 の悪用を推進していることが懸念されている。
シンガポールに集中する攻撃
数日前から観測されている活発な悪用は、シンガポールの脆弱な Web サーバーを狙うものであり、世界規模を目指す脅威アクターが活動を拡大する前の、予備的なテスト段階だという可能性がある。
Spring4Shell の悪用とは、特別に細工されたリクエストを介して、Web サーバーの Webroot に JSP Web シェルを書き込み、それを使ってサーバー上でリモート・コマンドを実行できるようにするものだ。この場合、脅威アクターはリモート・アクセスを利用して、Miraiを「/tmp」フォルダにダウンロードして実行する。
.jpg)
脅威アクターは、さまざまな CPU アーキテクチャに対応する複数の Mirai サンプルを取得し、それらを wget.sh スクリプトで実行する。
対象となるアーキテクチャと互換性が得られずに、正常に実行されなかったものは、最初の実行段階を経て、ディスクから削除される。
Log4Shell から Spring4Shell へ
各種の Mirai ボットネットは、先月までは Log4Shell (CVE-2021-44228) の脆弱性を持続的に悪用する数少ない存在であり、広く利用されている Log4j ソフトウェアの欠陥を利用して、脆弱なデバイスを DDoS ボットネットにリクルートしていた。
現在、このボットネットの運営者は、新たなデバイス・プールを獲得するために、潜在的に大きな影響を与える Spring4Shell のような欠陥の実験に、乗り出している可能性があるのだ。
この種の攻撃が、ランサムウェア展開やデータ漏洩につながる可能性を考えると、サービス拒否やクリプトマイニングのための Mirai リソース・ハイジャックのケースは、比較的無害であるように見える。
それぞれのシステムへのパッチ適用が進み、脆弱性のあるデプロイメント数が減少すると、パッチ未適用のサーバーに悪意のネットワーク・スキャンに集中し、そこで悪用が試みられるようになる。
管理者たちは、可能な限り早急に、Spring Framework 5.3.18/5.2.20 へのアップグレードを行い、さらには Spring Boot 2.5.12 以降へのアップグレードを行い、最も危険な脅威グループが悪用の活動に加わる前に、こうした攻撃へのドアを閉じる必要がある。
Mirai に関する直近の記事としては、2021年12月12日の「Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike」が、興味深い分析を提供しています。また、Spring4Shell に関しては、2022年4月5日の「SpringShell 問題を抱える組織と脅威アクターたち:すでに6社に1社がターゲットに」や、「Microsoft が Spring4Shell 攻撃を検出:広範囲のクラウドで少量の悪用の施行」が、この脆弱性つついて、知るべきことを説明しています。絡みあってほしくない、マルウェアと脆弱性ですね。
IoT OT Security News 