Trend Microは4月10日、公式ブログ「CVE-2022-22965 Analyzing the Exploitation of Spring4Shell Vulnerability in Weaponizing and Executing the Mirai Botnet Malware」において、マルウェア「Mirai」のボットネットで脆弱性「Spring4Shell」が悪用されていることを確認したと伝えた。Spring4Shellは、Javaのアプリケーション開発フレームワーク「Spring Framework」において2022年3月末に発見された追跡番号CVE-2022-22965の脆弱性で、悪用するとリモートから任意のコードを実行することができる。

Trand Microのレポートによると、このSpring4Shellが、「Mirai」と呼ばれるボットネットマルウェアによる侵害に悪用されている形跡があるという。MiraiはIoTデバイスを主なターゲットとしているマルウェアで、攻撃者はこのマルウェアを介して対象のデバイスを乗っ取り、ボットネットを構築して他のサイバー攻撃などに悪用する。

Spring4Shellを悪用すると、一定の条件下で実行されているJavaアプリケーションを経由して任意のシェルコードを対象のサーバに送り込んで実行することができる。攻撃者は、この仕組みを使って対象のサーバの/tmpディレクトリにMiraiを送り込み、chmodコマンドで権限を変更してボットネット化することに成功しているという。

  • 悪意のあるサーバーから取得した「wget.sh」のコンテンツ(引用:Trend Micro)

    悪意のあるサーバーから取得した「wget.sh」のコンテンツ 引用:Trend Micro

ボットネット化されたデバイスは、DDoS(分散サービス運用妨害)攻撃や暗号通貨のマイニングなどのサイバー攻撃に悪用される危険性がある。Trand Microのレポートには、Spring4Shellに関する詳細な解説や、ボットネット化に成功したMiraiのサンプル、侵害の痕跡(IOC)などの情報がまとめられている。