Depuis qu’une vulnérabilité a été découverte dans le framework open source Spring (Spring4Shell ou CVE-2022-22965), c’est la ruée dans la brèche des gangs de cyberattaque. Les chercheurs de Trend Micro ont observé que la faille était activement exploitée pour exécuter le botnet Mirai, notamment dans la région de Singapour.
Le malware Mirai n’a rien de nouveau. Il existe depuis près de six ans et est basé sur Linux. Il cible d’habitude des petits appareils en réseau et de l’Internet des objets (IoT), tels que des caméras IP et des routeurs grand public, pour former un botnet qui peut ensuite être utilisé dans le cadre de campagnes malveillantes de dénis de service distribués (DDoS) ou d’attaques de phishing.
En exploitant la faille, les attaquant·e·s peuvent télécharger un échantillon de Mirai dans le dossier ‘/tmp’ d’un serveur et l’exécuter après un changement de permission à l’aide de ‘chmod’. Chmod est une commande Unix pour modifier les autorisations d’accès des objets du système de fichiers, connus sous le nom de ‘modes’.
Or, Spring est très utilisé pour le développement d’applications. Les analystes de Check Point ont constaté plus de 37.000 tentatives d’exploitation, ne serait-ce qu’au cours du premier week-end suivant la divulgation de la faille par VMware. Environ 16% des entreprises dans le monde entier sont concernées.
« Les appareils IoT fonctionnant sous Linux sont à portée de main des acteurs de la menace et leur compromission en masse peut menacer l’intégrité des services Internet critiques », prévient CrowdStrike.
Il est donc plus que suggéré d’appliquer le correctif publié par Spring pour corriger la faille.