Spring4Shell | Microsoft investiga onda de ataques que usam nova falha em Java

A Microsoft anunciou estar acompanhando um “pequeno volume” de ataques envolvendo uma nova e crítica vulnerabilidade em sistemas Java. A chamada Spring4Shell foi descoberta na última semana e permite a execução de código remotamente em sistemas de nuvem, a partir de um framework de código aberto amplamente usado em aplicações desse tipo.

• 1/3 das campanhas de phishing duram menos tempo do que as pessoas imaginam
• Pelo menos 600 empresas de infraestrutura dos EUA sofreram ciberataques em 2021

De acordo com a empresa de Redmond, o monitoramento acontece sobre os serviços e infraestruturas da nuvem, de forma que elas estejam protegidas de ataques. No caso dessa exploração, os ataques tentam criar webshells no diretório raíz da solução, a partir do envio de solicitações manipuladas especialmente para explorar a vulnerabilidade. Ela já foi atualizada nas versões mais recentes do framework, enquanto mecanismos de mitigação também estão disponíveis.

Apesar do nome, é importante não confundir a nova vulnerabilidade, com o código CVE-2022-22965, com a Log4Shell, descoberta no fim do ano passado. Não é apenas o fato de ambas serem diferentes em essência, mas a nova, também, tem um potencial bem menos perigoso, além de só poder ser explorada em sistemas com características bem específicas, longe dos aspectos comuns da brecha anterior, que permitia a execução de códigos maliciosos diretamente do console.

Tais elementos envolvem, por exemplo, o uso do Apache Tomcat como container e versões específicas do framework Spring e do kit de desenvolvimento Java. Configurações e pacotes também precisam estar presentes de uma determinada maneira, com alguns casos indo contra as configurações usuais de sistemas desse tipo, o que acaba reduzindo a superfície da ameaça.

Alerta do governo e ação rápida dos cibercriminosos

Por outro lado, o alerta da Microsoft tem importância, principalmente depois que a CISA, a Agência de Cibersegurança e Infraestrutura do governo americano, incluiu a Spring4Shell em sua lista de ameaças ativamente exploradas contra o serviço público e as empresas privadas. A empresa de Redmond, porém, não deu detalhes sobre o citado “pequeno volume” de explorações que estão sendo monitoradas.

Enquanto isso, um relatório da Check Point, também especializada em segurança digital, apontou que apenas nos primeiros dias após a descoberta da Spring4Shell, 16% das organizações vulneráveis já haviam sido atingidas, com um volume de mais de 37 mil incidentes registrados apenas durante o último final de semana. O número reforça a necessidade de atuação rápida em atualizações e medidas de mitigação, já que a ideia, como sempre, é que os criminosos ajam rápido para obter acesso aos sistemas ainda vulneráveis.

De acordo com os dados da empresa de segurança, fornecedores de software parecem ser os alvos mais visados — possivelmente, pela ideia de poderem gerar golpes contra a cadeira de suprimentos. A Europa é o continente com maior volume de tentativas de intrusão, com um quinto de todos os incidentes detectados.

Fonte: Microsoft, Check Point