Lỗ hổng này có mã định danh CVE-2022-22965 (điểm CVSS: 9,8), đây là một lỗi nghiêm trọng ảnh hưởng đến Spring Framework, cụ thể là các ứng dụng Spring model – view – controller (MVC) và Spring WebFlux chạy trên Java Development Kit 9 trở lên. Nếu khai thác thành công, tin tặc có thể thực thi mã từ xa mà không cần xác thực.
Được biết, Spring Framework cung cấp các công cụ và tiện ích cho các ứng dụng doanh nghiệp dựa trên Java. Do việc triển khai phổ biến Framework này, các chuyên gia bảo mật lo ngại về các chiến dịch tấn công quy mô lớn lợi dụng lỗ hổng Spring4Shell trong tương lai.
Vào cuối tháng 3/2022, hai nhà nghiên cứu bảo mật Anthony Weems và Dallas Kaman lưu ý rằng: “Việc khai thác yêu cầu một điểm cuối có bật DataBinder (ví dụ: yêu cầu POST tự động giải mã dữ liệu từ phần nội dung yêu cầu) và phụ thuộc nhiều vào vùng chứa servlet cho ứng dụng”.
Mặc dù thông tin chính xác của việc khai thác trên thực tế vẫn chưa rõ ràng, tuy nhiên theo công ty bảo mật SecurityScorecard (Mỹ) cho biết: “Hoạt động rà quét lỗ hổng này đã tìm thấy một số thông tin về địa chỉ IP tới từ Nga và Trung Quốc”.
Các hoạt động rà quét tương tự cũng đã được phát hiện bởi nhóm Unit42 của công ty an ninh mạng Akamai và hãng bảo mật Palo Alto Networks, với những nỗ lực dẫn đến việc triển khai webshell để truy cập backdoor và thực hiện các lệnh tùy ý trên máy chủ với đích đến là phân phối mã độc hại khác hoặc lây lan trong hệ thống mạng mục tiêu.
Theo nhận định của các chuyên gia bảo mật, việc khai thác lỗ hổng Spring4Shell sẽ khó hơn đáng kể so với Log4Shell - một lỗ hổng RCE trong Apache Log4j đã được phát hiện vào tháng 12/2021.
Bên cạnh đó, các chuyên gia khuyến nghị tất cả người dùng nên cập nhật các bản vá càng sớm càng tốt để phòng tránh nguy cơ tấn công.
Sản phẩm bị ảnh hưởng
Theo thống kê do hãng bảo mật Sonatype công bố, các phiên bản Spring Framework có khả năng bị tấn công chiếm 81% tổng số lượt tải xuống từ kho lưu trữ Maven Central kể từ khi được phát hiện vào ngày 31/3/2022.
CISCO đang tiến hành điều tra dòng sản phẩm của mình, đồng thời đã xác nhận ba sản phẩm của họ bị ảnh hưởng bởi Spring4Shell, cụ thể là:
Về phần mình, VMware cũng tiết lộ ba sản phẩm trong nền tảng Tanzu Application có khả năng dễ bị tấn công, đồng thời đưa ra các bản vá cập nhật để xử lý, các sản phẩm này bao gồm:
Trong một lời khuyến cáo mới đây, VMware cho biết: “Tin tặc nếu có quyền truy cập vào một sản phẩm VMware bị ảnh hưởng, có thể khai thác để giành toàn quyền kiểm soát hệ thống mục tiêu”.
Đinh Hồng Đạt
17:00 | 25/03/2022
16:00 | 21/01/2022
07:00 | 14/08/2022
15:00 | 30/03/2022
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024