{"id":264387,"date":"2022-04-16T00:14:00","date_gmt":"2022-04-15T22:14:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=264387"},"modified":"2022-04-15T04:15:16","modified_gmt":"2022-04-15T02:15:16","slug":"spring4shell-schwachstelle-analyse-und-bedrohung-durch-mirai-botnet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/04\/16\/spring4shell-schwachstelle-analyse-und-bedrohung-durch-mirai-botnet\/","title":{"rendered":"Spring4Shell-Schwachstelle: Analyse und Bedrohung durch Mirai-Botnet"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=24114\" target=\"_blank\" rel=\"noopener\">English<\/a>]Seit einigen Tagen ist ja eine Spring4Shell genannte Schwachstelle im Java Spring Framework bekannt. Von VMware gibt es bereits seit Anfang April 2022 Patches f\u00fcr Produkte. Inzwischen ist bekannt, dass das Mirai-Botnet die Spring4Shell genannte Schwachstelle ausnutzt, um Systeme zu infizieren. Zudem bin ich auf eine kurze Analyse von Trend Micro zur Spring4Shell-Schwachstelle gesto\u00dfen.<\/p>\n<p><!--more--><\/p>\n<h2>Die Spring4Shell-Schwachstellen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/54cdfcbcba1347098bddba76a9c63d02\" alt=\"\" width=\"1\" height=\"1\" \/>Sicherheitsforscher von Check Point haben mehrere Schwachstellen in der beliebten Java Spring Framework Entwickler-Umgebung entdeckt. Der Begriff <em>Spring4Shell<\/em> deckt dabei folgende Schwachstellen ab:<\/p>\n<ul>\n<li><a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2022-22947\" target=\"_blank\" rel=\"noopener\">CVE-2022-22947<\/a> \u2013 <a href=\"https:\/\/tanzu.vmware.com\/security\/cve-2022-22947\" target=\"_blank\" rel=\"noopener\">official VMware post<\/a><\/li>\n<li><a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2022-22963\" target=\"_blank\" rel=\"noopener\">CVE-2022-22963<\/a> \u2013 <a href=\"https:\/\/spring.io\/blog\/2022\/03\/29\/cve-report-published-for-spring-cloud-function\" target=\"_blank\" rel=\"noopener\">official Spring project post<\/a><\/li>\n<li><a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2022-22965\" target=\"_blank\" rel=\"noopener\">CVE-2022-22965<\/a> \u2013 <a href=\"https:\/\/spring.io\/blog\/2022\/03\/31\/spring-framework-rce-early-announcement\" target=\"_blank\" rel=\"noopener\">official Spring project post<\/a><\/li>\n<\/ul>\n<p>Bei Spring4Shell konnten die Sicherheitsforscher mehrere Indikatoren von Injection\/Remote Code Execution als Angriffsweg beobachten. Besonders Europa steht, so die Sicherheitsforscher, unter Feuer. Laut Check Point sollen 20 Prozent der Organisationen wegen Spring4Shell gef\u00e4hrdet sein. Software-Anbieter machen weltweit die gr\u00f6\u00dfte Gruppe mit 28 Prozent aus. In einer Nachricht des Sicherheitsanbieters hei\u00dft es, dass 16 Prozent aller Organisationen weltweit bereits nach vier Tagen betroffen waren. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/04\/09\/spring4shell-sicherheitslcken-in-java-spring-framework\/\">Spring4Shell: Sicherheitsl\u00fccken in Java Spring Framework<\/a> dar\u00fcber berichtet. Von VMware gibt es bereits entsprechende Patches (siehe Links am Artikelende).<\/p>\n<h2>Mirai-Botnet nutzt Spring4Shell<\/h2>\n<p>Die Kollegen von Bleeping Computer warnen in nachfolgendem <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1512440208293249032\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> sowie in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/mirai-malware-now-delivered-using-spring4shell-exploits\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> davor, dass die Mirai-Malware bereits die Spring4Shell-Schwachstellen missbraucht, um Systeme zu infizieren.<\/p>\n<p><a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1512440208293249032\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Mirai uses Spring4Shell\" src=\"https:\/\/i.imgur.com\/VGkhlwy.png\" alt=\"Mirai uses Spring4Shell\" \/><\/a><\/p>\n<p>Die beobachtete aktive Ausnutzung der Schwachstellen konnte vor einigen Tagen beobachtet werden. Was auff\u00e4llt: Die Angriffe konzentrieren sich auf anf\u00e4llige Webserver in Singapur. Das legt die Vermutung nahe, dass das Ganze eine vorl\u00e4ufige Testphase sein k\u00f6nnte. Es ist vorstellbar, dass die Bedrohungsakteure die Operation zu einem sp\u00e4teren Zeitpunkt weltweit versuchen.<\/p>\n<h2>Spring4Shell-Analyse von Trend Micro<\/h2>\n<p>Sicherheitsanbieter Trend Micro hat sich die Spring4Shell-Schwachstellen genauer angeschaut und im Anschluss eine Analyse ver\u00f6ffentlicht, auf die man in nachfolgendem <a href=\"https:\/\/twitter.com\/TrendMicroDE\/status\/1514151403379384323\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> und in <a href=\"https:\/\/blog.trendmicro.de\/analyse-der-angriffe-ueber-die-spring4shell-luecke\/?linkId=160558017\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> hinweist.<\/p>\n<p><a href=\"https:\/\/twitter.com\/TrendMicroDE\/status\/1514151403379384323\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Spring4Shell-Analyse von Trend Micro\" src=\"https:\/\/i.imgur.com\/TByiX89.png\" alt=\"Spring4Shell-Analyse von Trend Micro\" \/><\/a><\/p>\n<p>Um sich \u00fcber die Schwachstellen zu informieren, k\u00f6nnte die Lekt\u00fcre des Beitrags ganz hilfreich sein.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/04\/09\/spring4shell-sicherheitslcken-in-java-spring-framework\/\">Spring4Shell: Sicherheitsl\u00fccken in Java Spring Framework<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/04\/06\/vmware-reagiert-auf-die-spring4shell-rce-schwachstelle-cve-2022-22965\/\">VMware reagiert auf die Spring4Shell RCE Schwachstelle CVE-2022-22965<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/04\/07\/warnung-kritische-schwachstellen-in-vmware-produkten-6-april-2022\/\">Warnung: Kritische Schwachstellen in VMware-Produkten (6. April 2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Seit einigen Tagen ist ja eine Spring4Shell genannte Schwachstelle im Java Spring Framework bekannt. Von VMware gibt es bereits seit Anfang April 2022 Patches f\u00fcr Produkte. Inzwischen ist bekannt, dass das Mirai-Botnet die Spring4Shell genannte Schwachstelle ausnutzt, um Systeme zu &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/04\/16\/spring4shell-schwachstelle-analyse-und-bedrohung-durch-mirai-botnet\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-264387","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264387","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=264387"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264387\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=264387"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=264387"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=264387"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}