トレンドマイクロ株式会社は4月21日、Spring4Shell(CVE-2022-22965)を悪用したボットネット「Mirai」の攻撃について、同社ブログで発表した。
同社では、Javaの開発環境で使用可能なフレームワークSpring Frameworkの脆弱性「Spring4Shell」(CVE-2022-22965)が悪用され、ボットネットマルウェア「Mirai」による攻撃が可能なことを確認している。攻撃者は、Mirai本体を「/tmp」フォルダにダウンロードし、「chmod」により権限変更をした上で攻撃の実行が可能となる。
Spring Frameworkは、Java環境でのアプリケーション開発に使用され、手動設定を減らしメモリ管理を強化するために開発されたモデルビューコントローラやMVCベースのアプリケーションを支援する包括的なインフラストラクチャを提供する。複数のデザインパターンを汎用的に実装することでコードの再利用性を高め、保守を容易にする機能を備え、クラウド、データ、セキュリティなど他のコンポーネントで構成されるSpringエコシステムの一部でもある。
影響を受ける依存関係は、4月21日時点で下記の通り。
Spring Frameworkのバージョン5.2.20以前、5.3.18以前、Java Development Kit(JDK)バージョン9以上
Apache Tomcat
Spring-webmvcやspring-webfluxと依存関係
Plain Old Java Objects(POJO)など、非基本パラメータタイプを使用するために設定されたSpringパラメータバインディングを使用
展開可能なウェブアプリケーションアーカイブ(WAR)としてパッケージ化
WebアプリやROOTなどの書き込み可能なファイルシステム
なお、Spring Frameworkの修正パッチは既にリリースされている。
トレンドマイクロでは、入手した検体に基づき、脆弱性悪用、検出の経緯、解析結果、修正パッチ、潜在的なリスク及び実際の適用例、リスク軽減方法について、説明を行っている。
