CISA cảnh báo về lỗ hổng bảo mật Spring4Shell

07:00 | 12/04/2022 | LỖ HỔNG ATTT

Ngày 4/4, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng thực thi mã từ xa (RCE) mới có tên gọi Spring4Shell vào “Danh mục các lỗ hổng bị khai thác đã biết”.

Lỗ hổng này có mã định danh CVE-2022-22965 (điểm CVSS: 9,8), đây là một lỗi nghiêm trọng ảnh hưởng đến Spring Framework, cụ thể là các ứng dụng Spring model – view – controller (MVC) và Spring WebFlux chạy trên Java Development Kit 9 trở lên. Nếu khai thác thành công, tin tặc có thể thực thi mã từ xa mà không cần xác thực.

Được biết, Spring Framework cung cấp các công cụ và tiện ích cho các ứng dụng doanh nghiệp dựa trên Java. Do việc triển khai phổ biến Framework này, các chuyên gia bảo mật lo ngại về các chiến dịch tấn công quy mô lớn lợi dụng lỗ hổng Spring4Shell trong tương lai.

Vào cuối tháng 3/2022, hai nhà nghiên cứu bảo mật Anthony Weems và Dallas Kaman lưu ý rằng: “Việc khai thác yêu cầu một điểm cuối có bật DataBinder (ví dụ: yêu cầu POST tự động giải mã dữ liệu từ phần nội dung yêu cầu) và phụ thuộc nhiều vào vùng chứa servlet cho ứng dụng”.

Mặc dù thông tin chính xác của việc khai thác trên thực tế vẫn chưa rõ ràng, tuy nhiên theo công ty bảo mật SecurityScorecard (Mỹ) cho biết: “Hoạt động rà quét lỗ hổng này đã tìm thấy một số thông tin về địa chỉ IP tới từ Nga và Trung Quốc”.

Các hoạt động rà quét tương tự cũng đã được phát hiện bởi nhóm Unit42 của công ty an ninh mạng Akamai và hãng bảo mật Palo Alto Networks, với những nỗ lực dẫn đến việc triển khai webshell để truy cập backdoor và thực hiện các lệnh tùy ý trên máy chủ với đích đến là phân phối mã độc hại khác hoặc lây lan trong hệ thống mạng mục tiêu.

Theo nhận định của các chuyên gia bảo mật, việc khai thác lỗ hổng Spring4Shell sẽ khó hơn đáng kể so với Log4Shell - một lỗ hổng RCE trong Apache Log4j đã được phát hiện vào tháng 12/2021.

Bên cạnh đó, các chuyên gia khuyến nghị tất cả người dùng nên cập nhật các bản vá càng sớm càng tốt để phòng tránh nguy cơ tấn công.

CISA cảnh báo về lỗ hổng bảo mật Spring4Shell

Sản phẩm bị ảnh hưởng

Theo thống kê do hãng bảo mật Sonatype công bố, các phiên bản Spring Framework có khả năng bị tấn công chiếm 81% tổng số lượt tải xuống từ kho lưu trữ Maven Central kể từ khi được phát hiện vào ngày 31/3/2022.

CISCO đang tiến hành điều tra dòng sản phẩm của mình, đồng thời đã xác nhận ba sản phẩm của họ bị ảnh hưởng bởi Spring4Shell, cụ thể là:

Cisco Crosswork Optimization Engine.
Cisco Crosswork Zero Touch Provisioning (ZTP).
Cisco Edge Intelligence.

Về phần mình, VMware cũng tiết lộ ba sản phẩm trong nền tảng Tanzu Application có khả năng dễ bị tấn công, đồng thời đưa ra các bản vá cập nhật để xử lý, các sản phẩm này bao gồm:

VMware Tanzu Application Service for Vms – phiên bản 2.10 đến 2.13.
VMware Tanzu Operations Manager – phiên bản 2.8 đến 2.9.
VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) – phiên bản 1.11 đến 1.13.

Trong một lời khuyến cáo mới đây, VMware cho biết: “Tin tặc nếu có quyền truy cập vào một sản phẩm VMware bị ảnh hưởng, có thể khai thác để giành toàn quyền kiểm soát hệ thống mục tiêu”.

Đinh Hồng Đạt

‹ › ×

Tin liên quan

CISA, FBI cảnh báo các tổ chức quan trọng của Hoa Kỳ về mối đe dọa đối với mạng SATCOM

17:00 | 25/03/2022

Trung tuần tháng 3, CISA và FBI cho biết đã phát hiện ra các mối đe dọa có thể xảy ra đối với mạng liên lạc vệ tinh SATCOM ở Hoa Kỳ và trên toàn thế giới.

CISA cảnh báo Log4j có thể bị lợi dụng cho các cuộc tấn công trong tương lai

16:00 | 21/01/2022

Các quan chức tại Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cho biết, bất chấp những lo ngại ban đầu về nguy cơ xảy ra xâm nhập trái phép lan rộng, họ vẫn chưa nhận thấy các tác hại đáng kể nào bắt nguồn từ lỗ hổng trong tiện ích Log4j của Java được công khai vào tháng 12/2021. Tuy vậy, họ không loại trừ khả năng kẻ xấu sử dụng lỗ hổng bảo mật trên để theo dõi các mục tiêu một cách âm thầm và chuẩn bị cho các cuộc tấn công sau này.

Phát hiện hơn 13.800 lỗ hổng bảo mật trong 7 tháng đầu năm 2022

07:00 | 14/08/2022

Theo thống kê của Trung tâm Giám sát an toàn không gian mạng quốc gia (Bộ TT&TT), các tổ chức quốc tế đã công bố và cập nhật hơn 13.800 lỗ hổng bảo mật trong 7 tháng đầu năm 2022. Trung bình mỗi ngày có khoảng 50 - 70 lỗ hổng mới.

Lỗ hổng nghiêm trọng trong Parse Server cho phép tin tặc thực thi mã từ xa

15:00 | 30/03/2022

Các nhà nghiên cứu vừa phát hiện ra một lỗ hổng nghiêm trọng trong công cụ mã nguồn mở Parse Server. Khai thác thành công lỗ hổng có thể cho phép tin tặc tấn công thực thi mã từ xa.

Tin cùng chuyên mục

Tấn công mạng: Hiểm họa lớn đối với các tổ chức, doanh nghiệp

08:00 | 17/04/2024

Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.

Tin tặc có thể sử dụng AI tạo sinh để thao túng các cuộc trò chuyện trực tiếp

09:00 | 09/04/2024

Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.

Hơn 100 tổ chức của Israel bị tấn công làm rò rỉ dữ liệu

09:00 | 09/01/2024

Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.

Phân tích phần mềm độc hại RisePro: Khám phá giao tiếp C2 trong phiên bản mới

13:00 | 14/12/2023

RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).