Một lỗ hổng zero-day mới, có tên là 'Spring4Shell', trong Spring Core Java framework đã được tiết lộ công khai, cho phép thực thi mã từ xa mà không cần xác thực trên các ứng dụng.
Spring là một framework rất phổ biến, cho phép các nhà phát triển phần mềm nhanh chóng và dễ dàng phát triển các ứng dụng Java.
Ngay trước đó, vào ngày 29/03/2022, một lỗ hổng bảo mật mới trong Spring Cloud Function có định danh CVE- 2022-22963 cũng đã được tiết lộ.
Tuy nhiên, lỗ hổng thực thi mã từ xa phát hiện sau trong Spring Core nghiêm trọng hơn đã được chia sẻ trên ứng dụng trò chuyện QQ và một trang web bảo mật của Trung Quốc.
Ngày 30 tháng 3, mã khai thác cho lỗ hổng zero-day này đã bị rò rỉ trong thời gian ngắn, nhưng các nhà nghiên cứu bảo mật đã có thể tải xuống trước khi nó bị xóa đi.
Sau đó, nhiều nhà nghiên cứu và các công ty bảo mật đã xác nhận rằng lỗ hổng này là hợp lệ và rất đáng lo ngại.
Spring4Shell liên quan đến vấn đề deserialization không an toàn đối với các đối số (argument) truyền vào.
Ban đầu, lỗ hổng được cho là ảnh hưởng đến tất cả các ứng dụng Spring sử dụng Java 9 trở lên. Sau đó các nhà nghiên cứu đã xác định cần có những yêu cầu cụ thể để một ứng dụng Spring dễ bị tấn công.
Nhà phân tích lỗ hổng Will Dormann tại CERT/CC cho biết ứng dụng phải sử dụng "Spring Beans" và "Spring Parameter Binding" với "Spring Parameter Binding phải được cấu hình để sử dụng loại tham số không cơ bản (non-basic ) như POJOs. "
Công ty bảo mật Praetorian cũng xác nhận lỗ hổng này cần phải dựa trên các cấu hình cụ thể để khai thác.
"Trong một số cấu hình nhất định, việc khai thác lỗ hổng rất đơn giản, nó chỉ yêu cầu kẻ tấn công gửi một yêu cầu POST độc hại tới một hệ thống dễ bị tấn công. Tuy nhiên, việc khai thác các cấu hình khác nhau sẽ yêu cầu kẻ tấn công sử dụng các mã khai thác khác nhau."
BleepingComputer cho biết lỗ hổng Spring4Shell đang bị khai thác nhiều trong các cuộc tấn công.
Praetorian đã đưa ra một giải pháp để giảm thiểu một phần các cuộc tấn công Spring4Shell bằng cách không cho phép chuyển các mẫu (patterns) cụ thể đến chức năng Spring Core DataBinder.
Spring là một framework rất phổ biến cho các ứng dụng Java, khiến Spring4Shell trở thành mối lo ngại đáng kể vì nó có thể dẫn đến các cuộc tấn công trên diện rộng. Những kẻ tấn công có thể tạo ra các công cụ tự động tìm kiếm và khai thác các máy chủ dễ bị tấn công.
Điều này gợi nhớ đến vụ tấn công hàng loạt vào các máy chủ Log4j bằng cách sử dụng khai thác Log4Shell để cài đặt phần mềm độc hại và tiến hành các cuộc tấn công ransomware vào tháng Mười hai năm ngoái.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Google đã phát hành phiên bản Stable Chrome 100 dành cho máy tính để bàn. Phiên bản này bao gồm một logo mới, các cải tiến bảo mật và các tính năng mới.
Tín nhiệm mạng | Sky Mavis đã xác nhận một đối tượng đã tấn công sàn giao dịch Ronin và đánh cắp 173.600 Ethereum và 25,5 triệu USDC token, trị giá 617 triệu đô la theo giá hiện nay.
Tín nhiệm mạng | Băng nhóm ransomware LAPSUS$ đã trở lại sau "kỳ nghỉ" dài một tuần và thông báo làm rò rỉ 70GB dữ liệu của Globant.
Tín nhiệm mạng | Tội phạm mạng luôn sử dụng IP của bên thứ ba để thực hiện các cuộc tấn công. Một cách hiệu quả để ngăn chặn các cuộc tấn công mạng là báo cáo và chặn các địa chỉ IP độc hại được sử dụng bởi chúng.
Tín nhiệm mạng | Một kỹ thuật hiển thị được dùng trong các nền tảng nhắn tin Instagram, iMessage, WhatsApp, Signal và Facebook Messenger, cho phép những kẻ tấn công tạo ra các tin nhắn lừa đảo hợp pháp trong ba năm qua.
Tín nhiệm mạng | Chiến dịch lừa đảo email mới sử dụng kỹ thuật conversation hijacking để phát tán mã độc IcedID thông qua các máy chủ Microsoft Exchange chưa được vá.