CISA cảnh báo về việc khai thác tích cực lỗ hổng Spring4Shell

04/06/2014
37
446 bài viết
CISA cảnh báo về việc khai thác tích cực lỗ hổng Spring4Shell
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng thực thi mã từ xa (RCE) gần đây ảnh hưởng đến Spring Framework vào Danh mục các lỗ hổng bị khai thác.

Lỗ hổng nghiêm trọng CVE-2022-22965 (điểm CVSS: 9,8) và được đặt tên là "Spring4Shell", ảnh hưởng đến các ứng dụng Spring model – view – controller (MVC) và Spring WebFlux chạy trên Java Development Kit 9 trở lên.

anh-whitehat-vn.png

"Việc khai thác yêu cầu một điểm cuối có bật DataBinder (ví dụ: yêu cầu POST tự động giải mã dữ liệu từ phần thân yêu cầu) và phụ thuộc nhiều vào vùng chứa servlet cho ứng dụng", các nhà nghiên cứu Anthony Weems và Dallas Kaman lưu ý vào tuần trước.

Mặc dù vẫn chưa có bằng chứng về việc bị khai thác trong thực tế, nhưng SecurityScorecard cho biết "hoạt động quét lỗ hổng này đã được quan sát thấy đến từ các nghi phạm thông thường như không gian IP của Nga và Trung Quốc".

Các hoạt động quét tương tự đã được phát hiện bởi Unit42 của Akamai và Palo Alto Networks, với những nỗ lực dẫn đến việc triển khai web shell để truy cập backdoor và thực hiện các lệnh tùy ý trên máy chủ với mục tiêu phân phối phần mềm độc hại khác hoặc lây lan trong mạng mục tiêu.

Theo thống kê do Sonatype công bố, các phiên bản Spring Framework có khả năng bị tấn công chiếm 81% tổng số lượt tải xuống từ kho lưu trữ Maven Central kể từ ngày 31 tháng 3.

Cisco đang điều tra dòng sản phẩm của mình để xác định sản phẩm có thể bị ảnh hưởng bởi lỗ hổng, trong đó gồm:
  • Cisco Crosswork Optimization Engine
  • Cisco Crosswork Zero Touch Provisioning (ZTP)
  • Cisco Edge Intelligence
VMware cũng chỉ ra ba sản phẩm dễ bị tấn công, đưa ra các bản vá cách khắc phục:
  • VMware Tanzu Application Service for VMs
  • VMware Tanzu Operations Manager, and
  • VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)
“Kẻ tấn công có quyền truy cập mạng vào một sản phẩm VMware bị ảnh hưởng có thể khai thác để giành toàn quyền kiểm soát hệ thống mục tiêu", VMware cho biết.

Cũng được CISA bổ sung vào danh mục là hai lỗi zero-day được Apple vá vào tuần trước (CVE-2022-22674 và CVE-2022-22675) và lỗi nghiêm trọng trong bộ định tuyến D-Link (CVE-2021-45382) đã được được vũ khí hóa tích cực bởi chiến dịch DDoS dựa trên Beastmode Mirai.

Chi nhánh Điều hành Dân sự Liên bang (FCEB) được yêu cầu khắc phục các lỗ hổng được xác định trước ngày 25 tháng 4 năm 2022.

Theo: The Hacker News
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên