Spring4Shell検出:悪名高いLog4jの足跡をたどる新たなJava脆弱性

[post-views]
3月 31, 2022 · 6 分で読めます
Spring4Shell検出:悪名高いLog4jの足跡をたどる新たなJava脆弱性

春が来ると、バグが咲きます。Spring Cloud Functionの新しい非常に深刻な欠陥が2022年3月29日にレーダーに登場しました。この容易に悪用可能な脆弱性はSpring Coreモジュールに影響を与えます。Spring CoreはJavaアプリケーションで使用されるフレームワークで、JDK9+が必要です。悪用されると、このSpring Coreの脆弱性がリモートコード実行(RCE)に基づく攻撃を可能にします。

これまでのところ、Spring4Shellは深刻な影響を与える可能性があると考えられています Log4j RCEの欠陥.

Spring4Shellを検出する

システムが侵害されていないことを確認するには、Florian Ro氏と共にSOC Primeチームがリリースした以下のルールをご利用くださいth. The f以下のルールは、SpringCore RCEの脆弱性を悪用しようとする試みを検出します。

Spring4Shell悪用試行による可能性のある初期アクセス(ウェブ経由)

Spring4Shell悪用試行による可能性のある内部横方向移動(Windows)(プロセス生成経由)

Spring4Shell悪用試行による可能性のある内部横方向移動(Linux)(プロセス生成経由)

上記のSigma検出に加えて、Florian RothがリリースしたYARAルールを活用できます:

可能性のあるSpring4Shell悪用パターン – YARAルール

SOC PrimeプラットフォームのThreat Detection MarketplaceリポジトリでSpring4Shellに関連する検出コンテンツの更新をフォローしてください こちら。検出コンテンツ開発者ですか?世界最大のサイバー防御コミュニティに参加し、Threat Bountyプログラムを活用して、サイバーセキュリティコミュニティの力を利用し、貴重なインプットに対する継続的な報酬を得ましょう。

すべてのコンテンツを表示 Threat Bountyに参加する

Spring4Shellエクスプロイト分析

現在活発に勢いを増している新しいゼロデイSpring4Shellの脆弱性は、2022年3月29日にSpring Frameworkで発見されました。これはJavaで最も需要の高いフレームワークの1つです。Springアプリケーションは、分散システムにおける一般的なパターンを開発者が構築するためのツールを提供します。新しいSpring Cloudの脆弱性は、その類似性からすでにSpring4Shellと名付けられています。2021年12月に大騒ぎを引き起こしたApache Log4j2の脆弱性に似ているからです。

SpringShellが妥協されたシステムに与える直接の影響は避けられません:このエクスプロイトはLog4Shellと同様に非常に簡単に実現されます。その後、脅威者はインターネットをスキャンし、脆弱性のあるサーバーを自動的に悪用するスクリプトを作成できます。悪用には脆弱なアプリへの単純なHTTP POSTが必要なだけです。これらの欠陥を利用して脅威者はサーバー上でコマンドを実行し、感染したデバイスを完全にリモートコントロールすることができます。

さらに、Spring Cloud FunctionsはAWS LambdaやGoogle Cloud Functionsといったクラウドのサーバーレス機能で利用される可能性があり、ハッカーがこの脆弱性を最大限に活用するための格好の標的となります。

言うまでもなく、このSpringプロジェクトの欠陥は特定の設定に依存して成功するため、場合によっては、攻撃者が特別に作成したPOSTリクエストをターゲットシステムに送信するだけで、この欠陥を悪用するのは簡単です。しかし、そのような設定の悪用は、攻撃者がSpringアプリケーションを対象にしたペイロードを正しく投入し、システムの完全な制御を得るために、追加の時間とリソースの投資が必要です。

2022年3月31日時点で、この特定の欠陥に関連するCVEはありませんが、Springプロジェクトに関連する他の新たに公開された脆弱性としてはCVE-2022-22963およびCVE-2022-22950があります。

実際の現実世界のアプリケーションにこのSpring Core RCE脆弱性が実際に及ぼす潜在的および実際のリスクはまだ決定されていません。

参加する SOC PrimeのDetection as Code プラットフォームに参加して、脅威の状況の最新の開発に継続的にアクセスし、脅威のカバレッジを向上させ、MITRE ATT&CKマトリックスに整合した最も関連性の高い検出コンテンツを取得することで攻撃者に先駆けてください。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Uncoder AIでのカスタムAIプロンプトがオンデマンド検出生成を実現
SOCプライムプラットフォーム, ブログ — 4 分で読めます
Uncoder AIでのカスタムAIプロンプトがオンデマンド検出生成を実現
Steven Edwards
XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
ブログ, 最新の脅威 — 6 分で読めます
XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
Veronika Telychko
CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に
Veronika Telychko