Die kürzlich bekannt gewordene kritische Spring4Shell-Schwachstelle wird von Bedrohungsakteuren aktiv ausgenutzt, um die Mirai-Botnet-Malware auszuführen, insbesondere in der Region Singapur seit Anfang April 2022.
„Die Schwachstelle ermöglicht es Bedrohungsakteuren, die Mirai-Samples in den Ordner ‚/tmp‘ herunterzuladen und sie nach einer Änderung der Berechtigung mittels ‚chmod‘ auszuführen“, so die Trend Micro Forscher Deep Patel, Nitesh Surana und Ashish Verma in einem am Freitag veröffentlichten Bericht.
Die Sicherheitslücke mit der Bezeichnung CVE-2022-22965 (CVSS-Score: 9.8) ermöglicht es böswilligen Akteuren, Remote-Code-Ausführung in Spring Core-Anwendungen unter nicht standardmäßigen Bedingungen zu erreichen und den Angreifern die volle Kontrolle über die kompromittierten Geräte zu geben.
Die Entwicklung kommt, nachdem die U.S. Cybersecurity and Infrastructure Security Agency (CISA) Anfang der Woche die Spring4Shell-Schwachstelle in ihren Known Exploited Vulnerabilities Catalog aufgenommen hat, da es „Hinweise auf eine aktive Ausnutzung“ gibt.
Dies ist bei weitem nicht das erste Mal, dass die Betreiber von Botnetzen neu bekannt gewordene Schwachstellen schnell in ihr Exploit-Toolset aufnehmen. Im Dezember 2021 wurden mehrere Botnetze, darunter Mirai und Kinsing, entdeckt, die die Log4Shell-Schwachstelle ausnutzten, um in anfällige Server im Internet einzudringen.
Mirai, was auf Japanisch „Zukunft“ bedeutet, ist der Name einer Linux-Malware, die es auf vernetzte Smart-Home-Geräte wie IP-Kameras und Router abgesehen hat und diese zu einem Netzwerk infizierter Geräte, einem so genannten Botnet, zusammenschließt.
Das IoT-Botnet kann dann mit Hilfe der gekaperten Hardware für weitere Angriffe genutzt werden, z. B. für groß angelegte Phishing-Angriffe, Kryptowährungs-Mining, Klickbetrug und verteilte Denial-of-Service-Angriffe (DDoS).
Erschwerend kommt hinzu, dass durch die Veröffentlichung des Mirai-Quellcodes im Oktober 2016 zahlreiche Varianten wie Okiru, Satori, Masuta und Reaper entstanden sind, was Mirai zu einer sich ständig verändernden Bedrohung macht.
„Der [Mirai-]Code ist so einflussreich, dass sogar einige der Malware-Ableger ihre eigenen Code-Versionen veröffentlichen und von anderen Cyberkriminellen übernommen werden“, erklärten die Forscher von Intel 471 im vergangenen Monat und verwiesen auf den Upload des Quellcodes des BotenaGo-Botnetzes auf GitHub im Januar 2022.
Im Januar dieses Jahres stellte das Cybersecurity-Unternehmen CrowdStrike fest, dass die Zahl der Malware, die Linux-Systeme angreift, im Jahr 2021 im Vergleich zu 2020 um 35 % gestiegen ist, wobei die Malware-Familien XOR DDoS, Mirai und Mozi für mehr als 22 % der in diesem Jahr beobachteten Bedrohungen für Linux verantwortlich sind.
„Der Hauptzweck dieser Malware-Familien besteht darin, anfällige, mit dem Internet verbundene Geräte zu kompromittieren, sie zu Botnetzen zusammenzuschließen und sie für DDoS-Angriffe (Distributed Denial of Service) zu nutzen“, so die Forscher.