微軟在其云服務中檢測到Spring4Shell攻擊

 

微軟在其云服務中檢測到Spring4Shell攻擊

4月4日,微軟發佈公告稱, 安全團隊檢測到正利用近期曝出的Spring4Shell(又名 SpringShell)遠程代碼執行(RCE)漏洞進行的攻擊,目標是自身的雲服務產品。

Spring4Shell漏洞(跟踪為 CVE-2022-22965)源自 Spring 框架,該框架被稱為“使用最廣泛的 Java 輕量級開源框架”。
微軟365 Defender 威脅情報團隊表示,自該漏洞出現以來,就監測到了利用雲服務中Spring Cloud 和 Spring Core 漏洞進行的持續性攻擊。

根據4日發布的報告稱,攻擊者可以通過向運行 Spring Core 框架的服務器發送特製的查詢來利用Spring Core 安全漏洞,
從而在 Tomcat 根目錄中創建 Web shell ,並以此在受感染的服務器上執行命令。

微軟認定,受影響的系統具有以下特徵:

1.運行 JDK 9.0 或更高版本

2.Spring Framework 版本 5.3.0 至 5.3.17、5.2.0 至 5.2.19 及更早版本

3.Apache Tomcat 作為 Servlet 容器

4.打包為傳統的 Java Web 存檔 (WAR) 並部署在獨立的 Tomcat 實例中;使用嵌入式 Servlet 容器或響應式 Web 服務器的典型 Spring Boot 部署不受影響

5.Tomcat 有spring-webmvc或spring-webflux依賴項

此外,微軟也表示,任何使用 JDK 9.0 或更高版本並使用 Spring Framework 或衍生框架的系統都存在風險。

4月5日, Check Point 發布報告評估,Spring4Shell漏洞利用嘗試已達到所有受影響設備或組織的16%,
並根據內部的監測數據顯示,僅在上週末,Check Point 研究人員就檢測到了大約 37000 次 Spring4Shell 漏洞利用攻擊。



發佈留言