Lỗ hổng này có mã định danh CVE-2022-22965 (điểm CVSS: 9,8), đây là một lỗi nghiêm trọng ảnh hưởng đến Spring Framework, cụ thể là các ứng dụng Spring model – view – controller (MVC) và Spring WebFlux chạy trên Java Development Kit 9 trở lên. Nếu khai thác thành công, tin tặc có thể thực thi mã từ xa mà không cần xác thực.
Được biết, Spring Framework cung cấp các công cụ và tiện ích cho các ứng dụng doanh nghiệp dựa trên Java. Do việc triển khai phổ biến Framework này, các chuyên gia bảo mật lo ngại về các chiến dịch tấn công quy mô lớn lợi dụng lỗ hổng Spring4Shell trong tương lai.
Vào cuối tháng 3/2022, hai nhà nghiên cứu bảo mật Anthony Weems và Dallas Kaman lưu ý rằng: “Việc khai thác yêu cầu một điểm cuối có bật DataBinder (ví dụ: yêu cầu POST tự động giải mã dữ liệu từ phần nội dung yêu cầu) và phụ thuộc nhiều vào vùng chứa servlet cho ứng dụng”.
Mặc dù thông tin chính xác của việc khai thác trên thực tế vẫn chưa rõ ràng, tuy nhiên theo công ty bảo mật SecurityScorecard (Mỹ) cho biết: “Hoạt động rà quét lỗ hổng này đã tìm thấy một số thông tin về địa chỉ IP tới từ Nga và Trung Quốc”.
Các hoạt động rà quét tương tự cũng đã được phát hiện bởi nhóm Unit42 của công ty an ninh mạng Akamai và hãng bảo mật Palo Alto Networks, với những nỗ lực dẫn đến việc triển khai webshell để truy cập backdoor và thực hiện các lệnh tùy ý trên máy chủ với đích đến là phân phối mã độc hại khác hoặc lây lan trong hệ thống mạng mục tiêu.
Theo nhận định của các chuyên gia bảo mật, việc khai thác lỗ hổng Spring4Shell sẽ khó hơn đáng kể so với Log4Shell - một lỗ hổng RCE trong Apache Log4j đã được phát hiện vào tháng 12/2021.
Bên cạnh đó, các chuyên gia khuyến nghị tất cả người dùng nên cập nhật các bản vá càng sớm càng tốt để phòng tránh nguy cơ tấn công.
Sản phẩm bị ảnh hưởng
Theo thống kê do hãng bảo mật Sonatype công bố, các phiên bản Spring Framework có khả năng bị tấn công chiếm 81% tổng số lượt tải xuống từ kho lưu trữ Maven Central kể từ khi được phát hiện vào ngày 31/3/2022.
CISCO đang tiến hành điều tra dòng sản phẩm của mình, đồng thời đã xác nhận ba sản phẩm của họ bị ảnh hưởng bởi Spring4Shell, cụ thể là:
Về phần mình, VMware cũng tiết lộ ba sản phẩm trong nền tảng Tanzu Application có khả năng dễ bị tấn công, đồng thời đưa ra các bản vá cập nhật để xử lý, các sản phẩm này bao gồm:
Trong một lời khuyến cáo mới đây, VMware cho biết: “Tin tặc nếu có quyền truy cập vào một sản phẩm VMware bị ảnh hưởng, có thể khai thác để giành toàn quyền kiểm soát hệ thống mục tiêu”.
Đinh Hồng Đạt
17:00 | 25/03/2022
16:00 | 21/01/2022
07:00 | 14/08/2022
15:00 | 30/03/2022
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
07:00 | 03/11/2023
Hiện nay, ngày càng có nhiều nhà phát triển phần mềm độc hại sử dụng kết hợp đa ngôn ngữ lập trình để vượt qua các hệ thống bảo mật phát hiện nâng cao. Trong đó, phần mềm độc hại Node.js Lu0Bot là minh chứng nổi bật cho xu hướng này. Bằng cách nhắm mục tiêu vào môi trường runtime - thường được sử dụng trong các ứng dụng web hiện đại và sử dụng tính năng che giấu nhiều lớp, Lu0Bot là mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân. Trong phần I của bài viết sẽ khám phá kiến trúc của phần mềm độc hại này.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024