Microsoft, Bulut Hizmetlerinde Spring4Shell Saldırıları Tespit Etti
Microsoft, bulut hizmetlerinde kritik Spring4Shell (aka SpringShell) uzaktan kod yürütme (RCE) güvenlik açığını hedefleyen “düşük kritiklikte” saldırılar tespit ettiğini açıkladı. Microsoft 365 Defender Tehdit İstihbarat Ekibi, “Microsoft, bulut altyapımıza ve hizmetlerimize yönelik saldırıları daha iyi savunmak için düzenli olarak izliyor” dedi.
Spring4Shell, webshell dağıtmak için kullanıldı
Microsoft, pazartesi günkü raporunda, saldırganların Tomcat root dizininde webshell oluşturmak için Spring Core framework çalıştıran sunuculara özel hazırlanmış sorgular göndererek, Spring Core güvenlik açığından yararlanabileceğini açıkladı. Spring4Shell’in yalnızca özel bir yapılandırmaya sahip sistemleri etkilediği düşünülsede bu doğru değil.
Aşağıdaki kod, Spring4Shell saldırılarına karşı savunmasız olup olmadığınızı tespit etmek için sunucularını kontrol edebilir (HTTP 400 yanıtı alırsanız istismarına karşı savunmasız olduğunun anlamına geliyor)
curl host:port/path?class.module.classLoader.URLs%5B0%5D=0
Altı kuruluştan biri hedef alınıyor
Bir siber güvenlik şirketinin istatistiklerine göre, dünya çapında Spring4Shell sıfırıncı gün güvenlik açığından etkilenen yaklaşık altı kuruluştan biri zaten saldırganlar tarafından hedef alınıyor. Check Point’e göre, yalnızca geçtiğimiz hafta sonu 37.000 Spring4Shell saldırısı tespit edildi.
En çok etkilenen sektör olarak toplamın %28’ini oluşturan yazılım satıcıları gibi görünüyor.
Sistemlerinizi güncelleyin
JDK 9+ üzerinde çalışan Spring MVC ve Spring WebFlux uygulamalarını etkileniyor, bu nedenle tüm Java Spring dağıtımları potansiyel saldırı vektörleri olarak düşünülmelidir. Spring Framework 5.3.18 ve 5.2.2 sürümleri ve Spring Boot 2.5.12’yi yayımladı. Bu nedenle, bu sürümlere veya daha sonrasına yükseltme yapılması şiddetle tavsiye ediliyor.
Kaynak: bleepingcomputer.com