مهاجمان به تازگی از آسیب‌پذیری Spring4Shell برای توزیع بدافزار Mirai به‌ویژه در محدوده سنگاپور سوءاستفاده کرده‌اند.

مهاجمان به تازگی از آسیب‌پذیری Spring4Shell برای توزیع بدافزار Mirai  به‌ویژه در محدوده سنگاپور سوءاستفاده کرده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سه آسیب‌پذیری مهم در Java Spring Framework شناسایی شد که یکی از آنها از نوع اجرای کد از راه دور (Remote Code Execution – به‌اختصار RCE) است و Spring4Shell یا SpringShell نامیده می‌شود.

 Spring Framework یک بستر منبع‌باز برای تولید برنامه‌های کاربردی مبتنی بر Java است و به دلیل اینکه برنامه‌نویسان را به نوشتن و آزمایش سریع و آسان برنامه‌های تکه‌تکه (Modular Applications) قادر می‌کند، پرطرفدار است.

از آنجایی‌ که ۶۰ درصد برنامه‌نویسان از Spring برای نوشتن برنامه‌های اصلی مبتنی بر Java استفاده می‌کنند، بسیاری از نرم‌افزارها به طور بالقوه تحت‌تأثیر این ضعف امنیتی قرار دارند.

آسیب‌پذیری Spring4Shell دارای درجه اهمیت حیاتی (Critical) است و کتابخانه (Library) org.springframework:spring-bean از آن تأثیر می‌پذیرد.

مهاجمان به طور فعال از این ضعف امنیتی از ۱۲ فروردین برای توزیع بدافزار Mirai، به‌ویژه در محدوده سنگاپور سوءاستفاده کرده‌اند.
این آسیب‌پذیری دارای شناسه CVE-۲۰۲۲-۲۲۹۶۵ بوده و درجه شدت آن ۹.۸ (بر طبق استاندارد CVSS) است.

مهاجم با سوءاستفاده از این ضعف امنیتی قادر به اجرای کد از راه دور است و می‌تواند کنترل کامل دستگاه آسیب‌پذیر را در دست بگیرد.
آژانس دولتی «امنیت سایبری و امنیت زیرساخت آمریکا» (Cybersecurity & Infrastructure Security Agency به‌اختصار CISA) نیز نسبت به Spring۴Shell هشدار داده و اعلام کرده است که این آسیب‌پذیری به‌طور فعال مورد سوءاستفاده قرار گرفته، به صورتی که تنها در چند روز اول بیش از ۳۷ هزار مورد بهره‌جویی از آن ثبت شده است.

محققان شرکت ترندمیکرو (Trend Micro, Inc.) در گزارشی اعلام کردند که مهاجمان با بهره‌جویی از این ضعف امنیتی، بدافزار Mirai را در پوشه "/tmp" قرار داده و پس از بکارگیری فرمان "chmod" برای تغییر مجوز، آن را اجرا می‌کنند.

این اولین باری نیست که گردانندگان شبکه‌های مخرب Botnet به سرعت اقدام به اضافه کردن یک ضعف امنیتی جدید افشاء شده به مجموعه‌ ابزارهای بهره‌جویی خود کرده‌اند. در آذر ۱۴۰۰ نیز موارد متعددی از سوءاستفاده شبکه‌های مخربی همچون Mirai و Kinsing از آسیب‌پذیری Log۴Shell برای نفوذ به سرورهای حساس در اینترنت شناسایی شدند.

Mirai در زبان ژاپنی به معنای «آینده» و نامی است که به یک بدافزار Linux داده شده است. این بدافزار دائماً دستگاه‌های موجود در شبکه خانه‌های هوشمند نظیر دوربین‌های IP و روترها (Routers) را که دارای پردازنده از نوع ARC هستند و نسخه ساده شده‌ای از سیستم عامل Linux را اجرا می‌کنند، هدف قرار داده و آنها را به شبکه‌ای از دستگاه‌های آلوده و تسخیر شده (Botnet) متصل می‌کند.

شبکه‌های Botnet متشکل از اینترنت اشیا، با به‌کارگیری مجموعه‌ای از سخت‌افزارهای به گروگان گرفته شده، می‌توانند حملات وسیع‌تری را نظیر حملات "فریب سایبری" (Phishing) در مقیاس بزرگ، استخراج دزدانه ارز دیجیتال، حملات توزیع‌شده ازکاراندازی سرویس (Distributed Denial-of-Service –به‌اختصار DDos) انجام دهند.

به دنبال فاش شدن کد منبع (Source code) بدافزار Mirai در مهر سال ۱۳۹۵، انواع مختلفی از شبکه‌های مخرب نظیر Okiru، Satori، Masuta و Reaper به وجود آمدند و آن را به تهدیدی دائمی و در حال جهش تبدیل کردند.

محققان شرکت اینتل ۴۷۱ (Intel۴۷۱, Inc.) نیز به تازگی با اشاره به انتشار کدهای منبع BotenaGo Botnet بر روی بستر برنامه‌نویسی GitHub در دی ماه ۱۴۰۰، عنوان کردند کد منبع Mirai آنقدر تأثیرگذار بوده است که حتی برخی از بدافزارهای نشات گرفته از آن، اکنون برای خود بطور مستقل نسخ جدید منتشر می‌کنند و با گروه‌های سایبری دیگری همکاری و مشارکت دارند.

در اوایل دی ۱۴۰۰ نیز شرکت امنیت سایبری کراودسترایک (CrowdStrike Holdings, Inc.) گزارش داد که بدافزارهایی که سیستم‌های Linux را مورد حمله قرار می‌دهند در سال ۲۰۲۱ نسبت به سال قبل از آن، ۳۵ درصد افزایش داشته است، به طوری که در سال ۲۰۲۱ مجموعه بدافزارهای XOR DDoS، Mirai و Mozi بیش از ۲۲ درصد از حملات هدفمند را علیه سیستم‌های Linux انجام داده‌اند.

این محققان بر این باورند که هدف اصلی این مجموعه از بدافزارها، آلوده‌سازی دستگاه‌های آسیب‌پذیر متصل به اینترنت، تحت کنترل در آوردن آنها در شبکه‌های مخرب و استفاده از آنها برای انجام حملات "توزیع شده ازکاراندازی سرویس" (DDOS) است.

توضیحات کامل در مورد آسیب‌پذیری Spring۴Shell و به‌روزرسانی‌های عرضه شده در نشانی زیر قابل‌دسترس است:
https://spring.io/blog/۲۰۲۲/۰۳/۳۱/spring-framework-rce-early-announcement