Cyberthreat.id – Peneliti di perusahaan keamanan siber Trend Micro, mengungkapkan jika operator yang berada di balik malware Mirai memanfaatkan Spring4Shell untuk menginfeksi server web yang rentan dan melakukan DDoS.

Dikutip dari Bleeping Computer, Spring4Shell merupakan kerentanan eksekusi kode jarak jauh (RCE) kritis yang dilacak sebagai CVE-2022-22965. Kerentanan ini memengaruhi Spring Framework, platform pengembangan aplikasi Java tingkat perusahaan yang banyak digunakan.

Pengembang Spring sempat merilis pembaruan darurat untuk memperbaiki cacat zero-day beberapa hari setelah penemuan kampanye yang memanfaatkan kerentanan tersebut. Namun pembaruan tersebut tidak terlalu berfungsi karena kerentanan ini sudah dimanfaatkan untuk melakukan serangan.

“Eksploitasi pelaku ancaman terhadap penyebaran yang rentan sudah berlangsung saat pembaruan Spring itu muncul,” ungkap peneliti Trend Micro.

Menurut peneliti, serangan ini banyak menyasar pengguna yang berlokasi di Singapura. Bahkan dalam beberapa hari terakhir banyak sekali situs web yang rentan di Singapura, dimanfaatkan sebagai fase awal uji coba sebelum pelaku ancaman menskalakan operasinya secara global.

Spring4Shell dieksploitasi untuk menulis shell web JSP ke webroot server web melalui permintaan yang dibuat khusus. Hal ini dapat digunakan oleh pelaku ancaman untuk menjalankan perintah di server dari jarak jauh.

“Dalam hal ini, pelaku ancaman menggunakan akses jarak jauh mereka untuk mengunduh Mirai ke folder “/tmp” dan menjalankannya,” tambah para peneliti.

Setelah berhasil, para pelaku ancaman akan mengambil beberapa sampel Mirai untuk berbagai arsitektur CPU dan menjalankannya dengan skrip "wget.sh". Serangan yang tidak berhasil dieksekusi karena ketidakcocokan dengan arsitektur yang ditargetkan akan dihapus dari disk setelah tahap eksekusi awal.

Peneliti menyebutkan berbagai botnet Mirai pengeksploitasi kerentanan Log4Shell (CVE-2021-44228). Hingga bulan lalu, memanfaatkan kelemahan dalam perangkat lunak Log4j yang banyak digunakan untuk merekrut perangkat yang rentan ke botnet DDoS-nya.

“Ada kemungkinan bahwa operator botnet sekarang beralih untuk bereksperimen dengan kelemahan lain yang berpotensi memiliki dampak yang cukup besar, seperti Spring4Shell, untuk memanfaatkan kumpulan perangkat baru,” kata peneliti.

Peneliti menambahkan, dengan mempertimbangan bahwa jenis serangan ini dapat menyebabkan penyebaran ransomware dan pelanggaran data, serta kasus pembajakan sumber daya Mirai untuk penolakan layanan atau penambangan kripto.

Ada baiknya administrator perlu meningkatkan ke Spring Framework 5.3.18 dan 5.2.20 sesegera mungkin. Perlu juga Spring Boot 2.5.12 atau yang lebih baru, untuk menutup pintu dari serangan ini sebelum kelompok ancaman paling berbahaya mengeksploitasi kerentanan ini.[]