Lỗ hổng này có mã định danh CVE-2022-22965 (điểm CVSS: 9,8), đây là một lỗi nghiêm trọng ảnh hưởng đến Spring Framework, cụ thể là các ứng dụng Spring model – view – controller (MVC) và Spring WebFlux chạy trên Java Development Kit 9 trở lên. Nếu khai thác thành công, tin tặc có thể thực thi mã từ xa mà không cần xác thực.
Được biết, Spring Framework cung cấp các công cụ và tiện ích cho các ứng dụng doanh nghiệp dựa trên Java. Do việc triển khai phổ biến Framework này, các chuyên gia bảo mật lo ngại về các chiến dịch tấn công quy mô lớn lợi dụng lỗ hổng Spring4Shell trong tương lai.
Vào cuối tháng 3/2022, hai nhà nghiên cứu bảo mật Anthony Weems và Dallas Kaman lưu ý rằng: “Việc khai thác yêu cầu một điểm cuối có bật DataBinder (ví dụ: yêu cầu POST tự động giải mã dữ liệu từ phần nội dung yêu cầu) và phụ thuộc nhiều vào vùng chứa servlet cho ứng dụng”.
Mặc dù thông tin chính xác của việc khai thác trên thực tế vẫn chưa rõ ràng, tuy nhiên theo công ty bảo mật SecurityScorecard (Mỹ) cho biết: “Hoạt động rà quét lỗ hổng này đã tìm thấy một số thông tin về địa chỉ IP tới từ Nga và Trung Quốc”.
Các hoạt động rà quét tương tự cũng đã được phát hiện bởi nhóm Unit42 của công ty an ninh mạng Akamai và hãng bảo mật Palo Alto Networks, với những nỗ lực dẫn đến việc triển khai webshell để truy cập backdoor và thực hiện các lệnh tùy ý trên máy chủ với đích đến là phân phối mã độc hại khác hoặc lây lan trong hệ thống mạng mục tiêu.
Theo nhận định của các chuyên gia bảo mật, việc khai thác lỗ hổng Spring4Shell sẽ khó hơn đáng kể so với Log4Shell - một lỗ hổng RCE trong Apache Log4j đã được phát hiện vào tháng 12/2021.
Bên cạnh đó, các chuyên gia khuyến nghị tất cả người dùng nên cập nhật các bản vá càng sớm càng tốt để phòng tránh nguy cơ tấn công.
Sản phẩm bị ảnh hưởng
Theo thống kê do hãng bảo mật Sonatype công bố, các phiên bản Spring Framework có khả năng bị tấn công chiếm 81% tổng số lượt tải xuống từ kho lưu trữ Maven Central kể từ khi được phát hiện vào ngày 31/3/2022.
CISCO đang tiến hành điều tra dòng sản phẩm của mình, đồng thời đã xác nhận ba sản phẩm của họ bị ảnh hưởng bởi Spring4Shell, cụ thể là:
Về phần mình, VMware cũng tiết lộ ba sản phẩm trong nền tảng Tanzu Application có khả năng dễ bị tấn công, đồng thời đưa ra các bản vá cập nhật để xử lý, các sản phẩm này bao gồm:
Trong một lời khuyến cáo mới đây, VMware cho biết: “Tin tặc nếu có quyền truy cập vào một sản phẩm VMware bị ảnh hưởng, có thể khai thác để giành toàn quyền kiểm soát hệ thống mục tiêu”.
Đinh Hồng Đạt
17:00 | 25/03/2022
16:00 | 21/01/2022
07:00 | 14/08/2022
15:00 | 30/03/2022
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
15:00 | 18/12/2023
Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024