Microsoft detecta ataques Spring4Shell en sus servicios en la nube

Microsoft dijo que actualmente está rastreando un "bajo volumen de intentos de explotación" dirigidos a la vulnerabilidad crítica de ejecución remota de código (RCE) Spring4Shell (también conocida como SpringShell) en sus servicios en la nube.

La vulnerabilidad Spring4Shell (registrada como CVE-2022-22965) afecta Spring Framework, descrito como el "marco ligero de código abierto más utilizado para Java".

"Microsoft monitorea regularmente los ataques contra nuestra infraestructura y servicios en la nube para defenderlos mejor", dijo el equipo de inteligencia de amenazas de Microsoft 365 Defender .

"Desde que se anunció la vulnerabilidad de Spring Core, hemos estado rastreando un bajo volumen de intentos de explotación en nuestros servicios en la nube para las vulnerabilidades de Spring Cloud y Spring Core".

Spring4Shell explotado para implementar web shells
Microsoft explicó además en su informe del lunes que los atacantes podrían explotar esta falla de seguridad de Spring Core enviando consultas especialmente diseñadas a servidores que ejecutan el marco Spring Core para crear shells web en el directorio raíz de Tomcat.

Los actores de amenazas pueden usar este shell web para ejecutar comandos en el servidor comprometido.

Si bien algunos han comparado el nivel de gravedad de este error de seguridad con Log4Shell, una vulnerabilidad en la omnipresente biblioteca de registro basada en Apache Log4j Java, esto no es necesariamente cierto dado que Spring4Shell solo afecta a los sistemas con una configuración muy particular:

- Ejecutando JDK 9.0 o posterior
- Spring Framework versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores
- Apache Tomcat como contenedor de Servlet
- Empaquetado como un archivo web Java tradicional (WAR) e implementado en una instancia independiente de Tomcat; las implementaciones típicas de Spring Boot que utilizan un contenedor Servlet integrado o un servidor web reactivo no se ven afectadas
- Tomcat tiene dependencias spring-webmvc o spring- webflux

A pesar de esto, Microsoft dice que "cualquier sistema que use JDK 9.0 o posterior y use Spring Framework o marcos derivados debe considerarse vulnerable".

Los administradores pueden verificar sus servidores para determinar si son vulnerables a los ataques Spring4Shell usando este comando no malicioso (una respuesta HTTP 400 es evidencia de que el sistema es vulnerable a al menos un exploit de prueba de concepto (PoC) disponible públicamente):


Advertencias de explotación en curso

El descubrimiento de Microsoft de ataques en curso que implementan exploits Spring4Shell contra su infraestructura en la nube se produce después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregara la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas .

Un informe de Check Point publicado el martes estima que los intentos de explotación de CVE-2022-22965 ya se han dirigido a aproximadamente el 16% de todas las organizaciones vulnerables a Spring4Shell.

Según las estadísticas de telemetría de fuentes internas, los investigadores de Check Point detectaron alrededor de 37 000 intentos de explotación de Spring4Shell solo durante el último fin de semana.

El lunes, VMware también publicó actualizaciones de seguridad para abordar la falla Spring4Shell que afecta a varios de sus productos de virtualización y computación en la nube.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta