Mirai-Botnet missbraucht Spring4Shell-Sicherheitsleck

Das Mirai-Botnetz versucht, Systeme mit Spring4Shell-Sicherheitslücke aufzuspüren und zu infizieren. Das haben Sicherheitsforscher von Trend Micro entdeckt. Administratoren sollten auf noch nicht abgesicherten Systemen rasch die verfügbaren Spring-Framework-Updates installieren.

In einer ausführlichen Meldung erläutern Trend Micros Sicherheitsexperten, welche Schwachstellen im Spring-Framework existierten und wie sie genau angegriffen werden können. Demzufolge waren die beobachteten Angriffe dreistufig. In Stufe eins senden die Angreifer ein sorgsam präpariertes HTTP-Paket. In Stufe zwei dekodiert der Server das Paket und die darin enthaltene Nutzlast. Diese führt dazu, dass eine JSP-Webshell (Java Server Pages) ausgeführt wird. In der dritten Stufe können die Angreifer aus dem Netz schließlich Befehle auf dem Server ausführen – im Beispiel etwa

http://<Opfer-IP>:8080/tomcatwar.jsp?pwd=j&cmd=whoami

womit sich das Nutzerkonto herausfinden lässt, in dessen Kontext die Webshell läuft.

Großer Schaden möglich

Die Schwachstelle ermöglicht Angreifern vollen Zugriff auf kompromittierte Geräte. Sie könnten darüber einbrechen und weitere Malware installieren, die etwa Daten ausleitet, oder das Gerät oder Teilfunktionen davon lahmlegen. Sie könnten Software zum Schürfen von Kryptowährungen installieren oder eine Ransomware, die Dateien verschlüsselt, erläutert Trend Micro. Einen erfolgreichen Angriff sollten Administratoren daher vermeiden.

Auf den Honeypots des Unternehmens haben die Sicherheitsforscher anhand von Regeln für ihr Intrusion Prevention System (IPS), die unter anderem auf die Zeichenkette "class.classLoader" reagieren, erste Angriffe am 31. März 2022 erkannt. Mit etwas später veröffentlichten Regeln haben sie dann konkrete Spring4Shell-Angriffe ab dem 1. April entdeckt, die auf die Übertragung der Nutzlast der ersten Angriffsstufe reagieren.

Insbesondere in der Region um Singapur haben die IT-Forensiker aktive Angriffe beobachtet, bei denen die Mirai-Botnet-Malware auf verwundbare Server installiert wurde. Die Schadsoftware wurde dabei in den /tmp-Ordner heruntergeladen, mittels chmod ausführbar gemacht und schließlich gestartet.

Das Skript wget.sh lädt alle Samples herunter und versucht, sie auszuführen – die kompatiblen starten, die anderen nicht. Anschließend löscht es die heruntergeladenen Dateien. Der verwundbare Server wird damit zur Drohne im Mirai-Botnet.

Trend Micro empfiehlt, die bereitstehenden aktualisierten Versionen des Spring Framework zu installieren. Da die Sicherheitslücke aktiv ausgenutzt wird, sollten Administratoren rasch reagieren. Eine Warnung für künftige Sicherheitslücken muss zudem sein, dass die Cyberkriminellen sie sehr früh nach Bekanntwerden in den Baukasten der auszunutzenden Schwachstellen aufgenommen haben. Der Zeitraum zwischen Bekanntwerden und Ausnutzen der Lücken ist inzwischen oft recht klein.

(dmk)