El malware Mirai se entrega con exploits de Spring4Shell para ataques de DDoS
AS-033-2022
Fecha: 8/Abr/2022
Resumen:
El malware Mirai se aprovecha del exploit Spring4Shell para infectar servidores web vulnerables y reclutarlos para ataques DDoS (denegación de servicio distribuida).
Spring4Shell es una vulnerabilidad crítica de ejecución remota de código (RCE) rastreada como CVE-2022-22965, que afecta a Spring Framework, una plataforma de desarrollo de aplicaciones Java de nivel empresarial ampliamente utilizada.
Spring lanzó actualizaciones de emergencia para corregir la falla de día cero unos días después de su descubrimiento, pero la explotación de los actores de amenazas de los despliegues vulnerables ya estaba en marcha.
Como tal, el descubrimiento de Trend Micro de una variante de la botnet Mirai utilizada con éxito es motivo de preocupación.
Ataques centrados en Singapur.
La explotación activa comenzó hace unos días y se centra en servidores web vulnerables en Singapur, lo que podría ser una fase de prueba preliminar antes de que el actor de amenazas escale la operación a nivel mundial.
Spring4Shell se explota para escribir un shell web JSP en la raíz web del servidor web a través de una solicitud especialmente diseñada, que los actores de amenazas pueden usar para ejecutar comandos en el servidor de forma remota.
En este caso, los actores de amenazas utilizan su acceso remoto para descargar Mirai a la carpeta "/tmp" y ejecutarlo.
Imagen Nro. 1. Solicitud y comandos utilizados en este ataque (Trend Micro)
Los actores de amenazas obtienen múltiples muestras de Mirai para varias arquitecturas de CPU y las ejecutan con el script "wget.sh".
Imagen Nro. 2 Script que obtiene varios ejemplos de Mirai (Trend Micro)
Aquellos que no se ejecutan correctamente debido a su incompatibilidad con la arquitectura de destino se eliminan del disco después de la etapa de ejecución inicial.
De Log4Shell a Spring4Shell.
Varias botnets Mirai se encontraban entre los pocos explotadores persistentes de la vulnerabilidad Log4Shell (CVE-2021-44228) hasta el mes pasado, aprovechando la falla en el software Log4j ampliamente utilizado para reclutar dispositivos vulnerables en su botnet DDoS.
A medida que la aplicación de parches de los sistemas continúa y el número de implementaciones vulnerables disminuye, los servidores sin parches aparecerán en más análisis de red maliciosos, lo que provocará intentos de explotación.
Recomendación.
Los administradores deben actualizar a Spring Framework 5.3.18 y 5.2.20 lo antes posible, y también a Spring Boot 2.5.12 o posterior, para cerrar la puerta a estos ataques antes de que los grupos de amenazas más peligrosos se unan al esfuerzo de explotación.
Referencia:
