Los investigadores de TrendMicro descubrieron una campaña en la que los actores de amenazas atacan los servidores web Spring4Shell vulnerables para inyectar el malware Mirai.
Estos servidores web infectados se utilizan para ataques DDoS más adelante cuando sea necesario. Por lo tanto, los investigadores advierten a los administradores de Spring Framework que parcheen sus servidores con las actualizaciones disponibles, para protegerse contra tales ataques.
Aunque por ahora es simplemente un reclutamiento para DDoS, los actores de amenazas pueden evolucionar lentamente para hacer otras cosas maliciosas también, advierten los expertos.
Explotación de Spring4Shell para la botnet Mirai
Desde la semana pasada, la comunidad de ciberseguridad está ocupada discutiendo una nueva amenaza: la Spring4Shell – una vulnerabilidad crítica de ejecución remota de código que se encuentra en Spring Framework, que es una plataforma de desarrollo de aplicaciones Java utilizada ampliamente en las empresas.
Lea también: Microsoft obtuvo el control de 7 dominios utilizados por un APT ruso
Rastreado como CVE-2022-22965, los investigadores advierten que este Spring4Shell podría ser otra ola de Log4Shell que preocupa a la comunidad desde hace más de tres meses. Aunque el software Spring lanzó actualizaciones para esta vulnerabilidad, es deber de los usuarios finales aplicarlas para siempre.
Por lo tanto, todos los servidores web vulnerables que están expuestos en Internet ahora están siendo atacados por actores de amenazas para instalar la botnet Mirai. Luego, los servidores infectados se agregan para formar una red, que se puede usar para realizar ataques DDoS más adelante.
Esto es rastreado por investigadores de TrendMicroquien señaló que la campaña comenzó hace unos días, centrándose en servidores web sin parches en Singapur, que pueden ser explotados para ataques Spring4Shell. Aunque ahora se detecta solo en Singapur, los actores de amenazas pueden expandirse globalmente pronto.
Dijeron que los actores de amenazas están escribiendo un shell web JSP en la raíz web del servidor web explotado a través de una solicitud especialmente diseñada, que luego se puede usar para ejecutar comandos en el servidor de forma remota.
Hay múltiples muestras de Mirai detectadas en este proceso, implementadas para adaptarse a las diversas arquitecturas de CPU de la máquina comprometida. Con el que coincide quedando dentro, las demás muestras se eliminan después de la etapa de ejecución inicial.
