CISA cảnh báo về việc khai thác tích cực lỗ hổng bảo mật quan trọng của Spring4Shell

Lỗ hổng của Spring4Shell

Cơ quan và Cơ sở hạ tầng Hoa Kỳ (CISA) hôm thứ Hai đã bổ sung lỗ hổng thực thi mã từ xa (RCE) được tiết lộ gần đây ảnh hưởng đến Spring Framework, vào Danh mục các lỗ hổng bị khai thác đã biết dựa trên “bằng chứng về việc khai thác tích cực.”

Lỗ hổng nghiêm trọng nghiêm trọng, được gán mã nhận dạng CVE-2022-22965 (điểm CVSS: 9,8) và được đặt tên là “Spring4Shell”, ảnh hưởng đến các ứng dụng Spring model – view – controller (MVC) và Spring WebFlux chạy trên Java Development Kit 9 trở lên.

“Việc khai thác yêu cầu một điểm cuối có bật DataBinder (ví dụ: yêu cầu POST tự động giải mã dữ liệu từ phần thân yêu cầu) và phụ thuộc nhiều vào vùng chứa servlet cho ứng dụng”, các nhà nghiên cứu pháp quan Anthony Weems và Dallas Kaman lưu ý vào tuần trước.

Mặc dù chi tiết chính xác của việc lạm dụng tự nhiên vẫn chưa rõ ràng, công ty bảo mật thông tin SecurityScorecard cho biết “hoạt động quét lỗ hổng này đã được quan sát thấy đến từ các nghi phạm thông thường như không gian IP của Nga và Trung Quốc.”

Các hoạt động quét tương tự đã được phát hiện bởi Unit42 của Akamai và Palo Alto Networks, với những nỗ lực dẫn đến việc triển khai web shell để truy cập backdoor và thực hiện các lệnh tùy ý trên máy chủ với mục tiêu phân phối độc hại khác hoặc lây lan trong mạng mục tiêu .

Xem tiếp:   [Webinar] Khi nhiều hơn không tốt hơn: Giải quyết quá tải cảnh báo

“Trong bốn ngày đầu tiên sau khi lỗ hổng bảo mật bùng phát, 16% tổ chức trên toàn thế giới bị ảnh hưởng bởi các nỗ lực khai thác”, Check Point Research cho biết, đồng thời phát hiện 37.000 cuộc tấn công liên quan đến Spring4Shell vào cuối tuần.

Nhóm Tình báo Đe dọa của Bộ bảo vệ 365 cũng tham gia, cho biết họ đã “theo dõi một lượng nhỏ các nỗ lực khai thác trên các dịch vụ đám mây của chúng tôi đối với các lỗ hổng Spring Cloud và Spring Core.”

Theo thống kê do Sonatype công bố, các phiên bản Spring Framework có khả năng bị tấn công chiếm 81% tổng số lượt tải xuống từ kho lưu trữ Maven Central kể từ khi vấn đề được đưa ra vào ngày 31 tháng 3.

Cisco, đang tích cực điều tra dòng sản phẩm của mình để xác định sản phẩm nào trong số họ có thể bị ảnh hưởng bởi lỗ hổng bảo mật, đã xác nhận rằng ba sản phẩm của họ bị ảnh hưởng –

Công cụ tối ưu hóa hoạt động chéo của Cisco Cisco Crosswork Zero Touch (ZTP) và Cisco Edge Intelligence

Về phần mình, VMware cũng coi ba sản phẩm của mình là dễ bị tấn công, đưa ra các bản vá và cách giải quyết nếu có thể –

Dịch vụ ứng dụng VMware Tanzu dành cho máy ảo VMware Tanzu Operations Manager và VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)

Xem tiếp:   Cơ quan mật vụ Ukraine bắt giữ hacker giúp đỡ những kẻ xâm lược Nga

VMware cho biết trong lời khuyên: “Một kẻ độc hại có quyền truy cập mạng vào một sản phẩm VMware bị ảnh hưởng có thể khai thác vấn đề này để giành toàn quyền kiểm soát hệ thống mục tiêu.

Cũng được CISA bổ sung vào danh mục là hai lỗi zero-day được Apple vá vào tuần trước (CVE-2022-22674 và CVE-2022-22675) và một thiếu sót nghiêm trọng trong bộ định tuyến D-Link (CVE-2021-45382) đã được được vũ khí hóa tích cực bởi chiến dịch DDoS dựa trên Beastmode Mirai.

Căn cứ Chỉ thị Hoạt động Ràng buộc (HĐQT) do CISA ban hành vào tháng 11 năm 2021, các cơ quan Chi nhánh Điều hành Dân sự Liên bang (FCEB) được yêu cầu khắc phục các lỗ hổng đã xác định trước ngày 25 tháng 4 năm 2022.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …