트렌드에 따르면 해커는 SpringShell을 무기로 사용하여 Mirai 악성 코드를 설치했습니다.


트렌드에 따르면 해커는 SpringShell을 무기로 사용하여 Mirai 악성 코드를 설치했습니다.

게티 이미지

금요일 연구원에 따르면 해커는 최근 발견된 SpringShell의 취약점을 악용하여 취약한 사물의 인터넷 장치를 라우터 및 기타 네트워크 연결 장치를 무질서한 봇넷에 끌어들이는 오픈 소스 악성 코드입니다. Mirai에 감염시키는 데 성공했습니다.

SpringShell (Spring4Shell이라고도 함)이 지난 주 일요일에 밝기에 나올 때 인터넷 앱의 상당 부분에 영향을 미친 인기있는 로깅 유틸리티 Log4J의 심각한 제로 데이 취약점 인 Log4Shell과 비교했습니다. 보고서도 있습니다. SpringShell이 ​​작동하는 데 필요한 구성은 결코 일반적이지 않았기 때문에이 비교는 과장된 것으로 나타났습니다. 현재는 취약한 것으로 알려진 실제 앱이 없습니다.

트렌드마이크로 연구원은 해커가 미라이를 성공적으로 설치하는 무기화된 익스플로잇을 개발했다고 말합니다. 그들이 게시한 블로그 게시물은 감염된 기기에서 사용되는 기기 유형이나 CPU를 확인하지 않았습니다. 그러나 게시물에는 서로 다른 CPU 아키텍처에 대한 여러 맬웨어 변종이 저장되어 있는 것으로 알려진 맬웨어 파일 서버가 포함되어 있습니다.

트렌드 마이크로

“Spring4Shell의 공격적인 악용이 관찰되어 악의적인 공격자가 취약한 서버, 특히 싱가포르 지역에서 미라이 봇넷 악성 코드를 무기로 실행할 수있었습니다.” , Nitesh Surana, AshishVerma는 썼다. Mirai를 장치의 “/tmp” 폴더에 다운로드하고 “chmod”를 사용하여 권한을 변경 한 후 실행하십시오.

공격은 이달 초 연구자 허니팟에 나타나기 시작했다. 취약한 설정의 대부분은 다음 종속성에 맞게 구성됩니다.

  • 5.2.20, 5.3.18 이전의 Spring Framework 버전 및 Java Development Kit (JDK) 버전 9 이상
  • Apache Tomcat
  • Spring-webmvc 또는 spring-webflux 종속성
  • 일반 올드 Java 오브젝트(POJO)와 같은 비기본 매개변수 유형을 사용하도록 구성된 Spring 매개변수 바인딩 사용
  • 배포 가능, 웹 애플리케이션 아카이브(WAR)로 패키징

트렌드에 따르면, 해커가 익스플로잇을 무기화하는데 성공한 것은 주로 공개된 클래스 객체를 사용하는 스킬이 원인이었고, 여러 수단이 제공되고 있었다.

예를 들어, 위협 공격자는 AccessLogValve 객체에 액세스하고 ApacheTomcat의 클래스 변수 ‘class.module.classLoader.resources.context.parent.pipeline.firstpath’를 무기로 만들 수 있습니다. 이렇게 하려면 액세스 로그를 리디렉션하고 패턴, 접미사, 디렉터리, 접두사와 같은 AccessLogValve 개체의 속성을 조작하여 웹 셸을 웹 루트에 씁니다. “

보고서를 어떻게 할지 정확히 알기가 어렵습니다. 세부사항 부족과 싱가포르 간의 지리적 연결은 트렌드마이크로가 본 제품이 연구자가 사용한 도구라면 제한된 수의 장치가 취약하거나 아마 전혀 없다는 것을 시사한다. 있을 수 있습니다. 실제 장치가 취약한지 확실하지 않기 때문에 위협의 정확한 평가를 제공하거나 위협을 피하기 위한 실용적인 권장 사항을 제공하는 것은 어렵습니다.

About the author

amazingrecipes.co

Leave a Comment