Posté le avril 11, 2022 à 13:31
DES ACTEURS DE MENACES DÉPLOIENT MIRAI POUR EXPLOITER LA VULNÉRABILITÉ DE SPRING4SHELL
La vulnérabilité Spring4Shell a été récemment divulguée ainsi que son impact potentiel. Cette vulnérabilité critique peut être exploitée par des hackers pour déployer des logiciels malveillants sur des appareils ciblés afin de voler les données des utilisateurs et de lancer des attaques persistantes.
Un rapport récent a révélé que le logiciel malveillant Mirai botnet est utilisé pour exploiter la vulnérabilité Spring4Shell. Le logiciel malveillant a été détecté à Singapour, et les acteurs de la menace l’ont utilisé pour lancer une série d’attaques depuis avril 2022.
Des hackers exploitent la vulnérabilité de Spring4Shell à l’aide du logiciel malveillant Mirai
La vulnérabilité Spring4Shell, connue sous le nom de CVE-2022-22965, permet aux hackers d’exécuter du code à distance sur les applications Spring Core. Cela permet aux acteurs malveillants de prendre le contrôle total des appareils ciblés, d’où ils peuvent mener d’autres attaques de suivi.
Ashish Verma, Deep Paten et Nitesh Surana, chercheurs chez Trend Micro, ont publié un rapport expliquant le fonctionnement de ce logiciel malveillant. La recherche indique que l’exploitation de cette vulnérabilité permet aux « acteurs de menaces de télécharger l’échantillon Mirai dans le dossier ‘/tmp’ et de l’exécuter après un changement de permission à l’aide de ‘chmod’.
« Nous avons commencé à voir des activités malveillantes au début du mois d’avril 2022. Nous avons également trouvé le serveur de fichiers du logiciel malveillant avec d’autres variantes de l’échantillon pour différentes architectures de CPU », indique le rapport. La découverte de ce logiciel malveillant intervient dans un contexte d’inquiétude croissante concernant la vulnérabilité de Spring4Shell.
En début de semaine, la CISA (Cybersecurity and Infrastructure Security Agency) a déclaré que la vulnérabilité Spring4Shell figurait désormais sur la liste du catalogue des vulnérabilités exploitées connues. Le logiciel malveillant a été ajouté à cette liste sur la base de « preuves d’exploitation active ».
Ce n’est pas la première fois que des hackers utilisent des logiciels malveillants de type botnet pour exploiter des vulnérabilités connues. Les hackers agissent généralement rapidement pour exploiter les failles nouvellement publiées avant qu’elles ne soient corrigées.
Vers la fin de l’année dernière, des logiciels malveillants de type botnet tels que Mirai et Kinsing ont été utilisés pour exploiter la vulnérabilité Log4Shell. Ces vulnérabilités ont été exploitées pour obtenir un accès non autorisé à des serveurs Internet.
Le logiciel malveillant du botnet Mirai est particulièrement utilisé par les hackers. Le nom du logiciel malveillant se traduit par « futur » en japonais. Mirai est un logiciel malveillant Linux qui a été utilisé pour cibler des appareils domestiques intelligents. Parmi les appareils exploités à l’aide de ce logiciel malveillant figurent des routeurs et des caméras IP. Le logiciel malveillant relie ensuite les appareils compromis en un seul réseau connu sous le nom de botnet.
L’utilisation de ce logiciel malveillant ne s’arrête pas à la première attaque sur l’appareil d’un utilisateur. Le botnet IoT peut par la suite utiliser le réseau d’appareils infectés pour lancer d’autres attaques. Des attaques massives de phishing, le minage illégal de crypto-monnaies, la fraude au clic et des attaques par déni de service distribué (DDoS) peuvent être effectuées en tant qu’attaques de suivi.
Le logiciel malveillant Mirai est également utilisé à grande échelle maintenant. En octobre 2016, le code source de Mirai a fait l’objet d’une fuite. Cela a permis aux attaquants de créer des variantes de logiciels malveillants, ce qui rend encore plus difficile de surveiller et maîtriser son utilisation. Parmi les variantes les plus connues de ce logiciel malveillant figurent Masuta, Okiru, Reaper et Satori.
En janvier de cette année, CrowdStrike, une société de cybersécurité, a annoncé une augmentation de 35 % des logiciels malveillants utilisés pour cibler les systèmes Linux en 2021 par rapport à l’année précédente. Les logiciels malveillants Mirai, Mozi et XOR DDoS ont représenté plus de 22 % des attaques visant les appareils Linux au cours de l’année.
Les chercheurs ont indiqué que « l’objectif principal de ces familles de logiciels malveillants est de compromettre des appareils vulnérables interconnectés, de les rassembler en botnets et de les utiliser pour mener des attaques par déni de service distribué. »
À propos de la vulnérabilité Spring4Shell
Lundi, le CISA a ajouté la vulnérabilité Spring4Shelll au catalogue des vulnérabilités exploitées connues. L’agence a noté qu’il existait des preuves que la vulnérabilité était activement exploitée.
Le logiciel malveillant a reçu l’identifiant CVE-2022-22965, et son score CVSS est de 9,8. La vulnérabilité est connue sous le nom de « Spring4Shell » et peut affecter les applications Spring model-view-controller (MVC) et Spring WebFlux fonctionnant sur le Javas Development Kit 9 et d’autres versions ultérieures.
Deux chercheurs de Praetorian, Anthony Weems et Dallas Kaman, ont précisé que « l’exploitation nécessite un point d’extrémité avec DataBinder activé (par exemple, une requête POST qui décode automatiquement les données du corps de la requête) et dépend fortement du conteneur de servlet de l’application. »
Les détails concernant l’exploitation de cette vulnérabilité dans la nature par des acteurs malveillants sont encore peu nombreux, hormis le rapport selon lequel la vulnérabilité pourrait être exploitée à l’aide du logiciel malveillant Mirai. Cependant, des rapports indiquent que la vulnérabilité pourrait être exploitée à des fins d’espionnage. SecuityScorecard, une société de sécurité de l’information, a noté que « l’analyse active de cette vulnérabilité a été observée en provenance des suspects habituels comme l’espace IP Russe et Chinois. »
