情資卡編號: TCCY-RCDC-ANA-202204-0071
事件主旨: 會員分享可疑 IP 針對 Spring Cloud 及 Spring 框架漏洞進行攻擊
內容說明:
一、F-ISAC 於近期接獲會員分享,發現來自國外之 IP 持續針對會員對外提供服務的網頁進行惡意連線攻擊,並試圖利用 CVE-2022-22963 及 CVE-2022-22965 漏洞,針對 Spring 進行攻擊以進一步自遠端執行惡意程式碼。本次攻擊事件經發現並阻絕來源,未造成任何資安損害。F-ISAC 已於2022年4月1日公告相關漏洞資訊,請會員盡速評估單位內使用狀況,並參考建議措施辦理應處作為。
二、本次案例攻擊手法,依據MITRE ATT&CK資安框架說明如下:
(一)案例敘述: 試圖利用公開網站上之軟體漏洞進行攻擊
(二)ATT&CK攻擊策略: Initial Access
(三)ATT&CK手法名稱: Exploit Public-Facing Application
(四)ATT&CK識別碼: T1190
三、F-ISAC 整理分析入侵威脅指標如附檔。
風險等級: 2
建議措施:
1.建議會員可透過單位內設備觀察是否曾有對這些(可疑)IP之連線紀錄,進行分析及風險評估(建議確認連線請求者是否為正常或合法的連線),並依照既有防護設備採取對應防護措施。
2.建議會員應檢查單位內設備之存取及操作權限是否正確設定,包含應以最小授權為原則,及僅允許已知的應用程式(包含程式碼)執行,以防止執行未經授權的惡意程式碼。
3.本案為針對 Spring Cloud 及 Spring 框架漏洞(編號為「CVE-2022-22963 及 CVE-2022-22965」)進行攻擊,建議會員應儘速審視相關修補建議執行作業。