Ngày 30/3, mã khai thác của lỗ hổng bảo mật Spring4Shell đã được công khai trên internet, trong khi lỗ hổng này chưa có mã lỗi quốc tế (CVE) và bản vá. Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã cảnh báo nguy cơ tấn công mạng từ lỗ hổng bảo mật nghiêm trọng Spring4Shell này.
Spring vừa phát hành bản cập nhật khẩn cấp để vá lỗ hổng zero-day thực thi code từ xa Spring4Shell.
Rất nhanh sau đó một hướng dẫn khai thác lỗ hổng Spring4Shell trong Spring Framework đã được đưa lên GitHub và bị xóa đi. Nhưng internet là một thế giới mở nên hướng dẫn khai thác đó nhanh chóng được chia sẻ lại ở những chỗ khác và được các nhà nghiên cứu bảo mật kiểm tra và xác nhận là một phương thức khai thác chuẩn chỉ của Spring4Shell.
Mục lục
1. Mức độ nghiêm trọng của lỗ hổng Spring4Shell
Lỗ hổng Spring4Shell tồn tại trong Spring Core, đây là thành phần lõi của bộ mã nguồn mở Spring Framework. Hiện nay, Spring Framework được sử dụng phổ biến trong các ứng dụng web. Ước tính có khoảng 50% ứng dụng web viết bằng Java dùng Spring Core. Theo đánh giá, Sping4Shell còn nguy hiểm hơn cả lỗ hổng Log4Shell, một trong những lỗ hổng nguy hiểm nhất thập kỷ vừa được phát hiện cuối năm 2021. Hơn nữa, lỗ hổng này còn chưa có bản vá, mã khai thác đã bị phát tán trên Internet. Nếu khai thác thành công, kẻ tấn công có thể thực thi mã từ xa và kiểm soát hệ thống.
“Với việc mã khai thác đã được công bố trên Internet, lỗ hổng này sẽ được các nhóm tấn công có chủ đích (APT) tận dụng để thực hiện các cuộc tấn công trên diện rộng thời gian ngắn sắp tới”, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) dự báo.
NCSC cũng cho biết, trên thực tế, “đã phát hiện dấu hiệu dò quét và khai thác thử” vào một số hệ thống công nghệ thông tin của các cơ quan, tổ chức tại Việt Nam thông qua lỗ hổng nói trên.
2. Cách thức tấn công của Spring4Shell
Trước đó, chuyên trang về bảo mật BleepingComputer cũng xác nhận tình trạng lỗ hổng Spring4Shell đang được khai thác trong nhiều cuộc tấn công gần đây. Các chuyên gia của BleepingComputer cho biết, việc khai thác Spring4Shell yêu cầu lệnh http đơn giản. Vì vậy kẻ tấn công có thể tạo các tập lệnh quét tự động trên Internet để tìm các máy chủ dễ bị tấn công.
Spring đã đưa ra một lời khuyên bảo mật giải thích rằng lỗ hổng bảo mật hiện được theo dõi là CVE-2022-22965 và ảnh hưởng đến các ứng dụng Spring MVC và Spring WebFlux trên JDK 9.
Spring đã đưa ra một lời khuyên bảo mật về Spring4Shell
3. Cách khắc phục lỗ hổng Spring4Shell
Để khắc phục lỗ hổng, quản trị viên CNTT cần cập nhật lên các phiên bản sau:
- Spring Framework 5.3.18 và Spring Framework 5.2.20.
- Spring Boot 2.5.12.
- Spring Boot 2.6.6.
Do các hacker đang rất tích cực khai thác các lỗ hổng mới, chính vì vậy, các nhà quản trị web hãy ưu tiên triển khai các bản cập nhật càng sớm càng tốt để hạn chế tối đa nguy cơ bị tấn công.
Nếu có bất kỳ thông tin mới nào về lỗ hổng zero-day Spring4Shell này, Hostvn sẽ update tại https://blog.hostvn.net/.
Ngoài ra bạn có thể liên hệ với đội ngũ nhân viên tư vấn của HOSTVN nếu như cần hỗ trợ thêm thông tin.
Xin chào và hẹn gặp lại!
Website: https://hostvn.net
Điện thoại: 024 4455 3333 (Hà Nội) – 028 4455 3333 (HCM) – Nhánh 1
Tổng đài miễn cước: 1800 888 939
Email: kinhdoanh@hostvn.net
