نماد سایت اتاق خبر شبکه گستر

بهره‌جویی از آسیب‌پذیری Spring4Shell برای توزیع بدافزار Mirai

در فروردین 1400، سه آسیب‌پذیری مهم در Java Spring Framework منتشر شد که یکی از آنها از نوع “اجرای کد از راه دور” (Remote Code Execution – به اختصار RCE) است و Spring4Shell یا SpringShell نامیده می‌شود.

Spring Framework یک بستر منبع باز جهت تولید برنامه‌های کاربردی مبتنی بر Java است و به دلیل اینکه برنامه‌نویسان را قادر به نوشتن و آزمایش سریع و آسان برنامه‌های تکه‌تکه (Modular Applications) می‌کند، پرطرفدار است. از آنجایی که 60 درصد برنامه‌نویسان از Spring برای نوشتن برنامه‌های اصلی مبتنی بر Java استفاده می‌کنند، بسیاری از نرم‌افزارها به طور بالقوه تحت تأثیر این ضعف امنیتی قرار دارند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده آسیب‌پذیری مذکور مورد بررسی قرار گرفته است.

آسیب‌پذیری Spring4Shell دارای درجه اهمیت حیاتی (Critical) بوده و کتابخانه (Library) org.springframework:spring-bean از آن تاثیر می‌پذیرد. این ضعف امنیتی از تاریخ 12 فروردین 1401 به طور فعال توسط مهاجمان جهت توزیع بدافزار Mirai، به ویژه در محدوده سنگاپور مورد سوء‌استفاده قرار گرفته است.

این آسیب‌پذیری دارای شناسه CVE-2022-22965 بوده و درجه شدت آن 9.8 (بر طبق استاندارد CVSS) می‌باشد. مهاجم با سوءاستفاده از این ضعف امنیتی قادر به اجرای کد از راه دور بوده و می‌تواند کنترل کامل دستگاه‌ آسیب‌پذیر را در دست بگیرد.

آژانس دولتی “امنیت سایبری و امنیت زیرساخت آمریکا” (Cybersecurity & Infrastructure Security Agency به اختصار CISA) نیز نسبت به Spring4Shell هشدار داده و اعلام نموده که این آسیب‌پذیری به طور فعال مورد سوءاستفاده قرار گرفته به صورتی که تنها در چند روز اول بیش از 37 هزار مورد بهره‌جویی از آن ثبت شده است.

محققان شرکت ترند میکرو (.Trend Micro, Inc)، در گزارشی اعلام نمودند که مهاجمان با بهره‌جویی از این ضعف امنیتی، بدافزار Mirai را در پوشه “/tmp” قرار داده و پس از بکارگیری فرمان “chmod” جهت تغییر مجوز، آن را اجرا می‌کنند.

 

 

این اولین باری نیست که گردانندگان شبکه‌های مخرب Botnet  به سرعت اقدام به اضافه کردن یک ضعف امنیتی جدید افشاء شده به مجموعه‌ ابزارهای بهره‌جویی خود کرده‌اند. در آذر 1400 نیز موارد متعددی از سوءاستفاده شبکه‌های مخربی همچون Mirai و Kinsing از آسیب‌پذیری Log4Shell جهت نفوذ به سرورهای حساس در اینترنت شناسایی شدند.

Mirai، در زبان ژاپنی به معنای “آینده” می‌باشد و نامی است که به یک بدافزار Linux داده شده است. این بدافزار دائماً دستگاه‌های موجود در شبکه خانه‌های هوشمند نظیر دوربین‌های IP و روترها (Routers) را که دارای پردازنده از نوع ARC هستند و نسخه ساده شده‌ای از سیستم عامل Linux را اجرا می‌کنند، هدف قرار داده و آنها را به شبکه‌ای از دستگاه‌های آلوده و تسخیر شده (Botnet) متصل می‌کند.

شبکه‌های Botnet متشکل از اینترنت اشیا، با بکارگیری مجموعه‌ای از سخت افزارهای به گروگان گرفته شده، می توانند حملات وسیع‌تری را نظیر حملات “فریب سایبری” (Phishing) در مقیاس بزرگ، استخراج دزدانه ارز دیجیتال، حملات توزیع‌شده از کاراندازی سرویس (Distributed Denial-of-Service –به اختصار DDos) انجام دهند.

به دنبال فاش شدن کد منبع (Source code) بدافزار Mirai در مهر سال 1395، انواع مختلفی از شبکه‌های مخرب نظیر Okiru ،Satori ،Masuta و Reaper به وجود آمدند و آن را به تهدیدی دائمی و در حال جهش تبدیل کردند.

محققان شرکت اینتل 471 (.Intel471, Inc) نیز به تازگی با اشاره به انتشار کدهای منبع BotenaGo Botnet بر روی بستر برنامه‌نویسی GitHub در دی ماه 1400، عنوان نمودند کد منبع Mirai آنقدر تأثیرگذار بوده است که حتی برخی از بدافزارهای منشاء گرفته از آن، اکنون برای خود بطور مستقل نسخ جدید منتشر می‌کنند و با گروه‌های سایبری دیگری همکاری و مشارکت دارند.  

در اوایل دی 1400 نیز شرکت امنیت سایبری کراودسترایک (.CrowdStrike Holdings, Inc) گزارش داد که بدافزارهایی که سیستم‌های Linux را مورد حمله قرار می‌دهند در سال 2021 نسبت به سال قبل از آن، 35 درصد افزایش داشته است، به طوری که در سال 2021 مجموعه بدافزارهای XOR DDoS ،Mirai و Mozi بیش از 22 درصد از حملات هدفمند را علیه سیستم‌های Linux انجام داده‌اند.

این محققان بر این باورند که هدف اصلی این مجموعه از بدافزارها، آلوده‌سازی دستگاه‌های آسیب‌پذیر متصل به اینترنت، تحت کنترل در آوردن  آنها در شبکه‌های مخرب و استفاده از آنها برای انجام حملات “توزیع شده از کاراندازی سرویس” (DDOS) می‌باشد.

در این راستا، توضیحات کامل در مورد آسیب‌پذیری Spring4Shell و بروزرسانی‌های عرضه شده در نشانی زیر قابل دسترس می‌باشد:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

 

منابع:

https://thehackernews.com/2022/04/hackers-exploiting-spring4shell.html

https://www.dynatrace.com/news/blog/what-is-spring4shell-vulnerabilities-in-the-java-spring-framework/

 

خروج از نسخه موبایل