Търсене
Close this search box.

Изследователи в областта на киберсигурността предупреждават за „забележително увеличение“ на активността на заплахите, които активно използват вече поправен недостатък в Apache ActiveMQ, за да доставят уеб обвивката Godzilla на компрометирани хостове.

„Уеб обвивките са скрити в непознат двоичен формат и са проектирани така, че да заобикалят скенерите за сигурност и базираните на сигнатури“, казват от Trustwave. „Забележително е, че въпреки неизвестния формат на двоичния файл, JSP енджинът на ActiveMQ продължава да компилира и изпълнява уеб обвивката.“

CVE-2023-46604 (CVSS оценка: 10.0) се отнася до сериозна уязвимост в Apache ActiveMQ, която позволява отдалечено изпълнение на код. След публичното ѝ разкриване в края на октомври 2023 г. тя е обект на активна експлоатация от множество противници за внедряване на ransomware, руткитове, миньори на криптовалути и DDoS ботнети.

В последния набор от прониквания, наблюдавани от Trustwave, податливите екземпляри са били насочени към JSP-базирани уеб обвивки, които са заложени в папката „admin“ на инсталационната директория на ActiveMQ.

Уеб обвивката, наречена Godzilla, е богата на функционалности задна врата, способна да анализира входящите HTTP POST заявки, да изпълнява съдържанието и да връща резултатите под формата на HTTP отговор.

„Това, което прави тези злонамерени файлове особено забележителни, е как JSP кодът изглежда скрит в непознат тип двоичен файл“, казва изследователят по сигурността Родел Мендрес. „Този метод има потенциал да заобиколи мерките за сигурност, избягвайки откриването от крайните точки за сигурност по време на сканиране.“

По-внимателното разглеждане на веригата на атаката показва, че кодът на уеб обвивката се преобразува в Java код, преди да бъде изпълнен от Jetty Servlet Engine.

Полезният товар на JSP в крайна сметка позволява на извършителя на заплахата да се свърже с уеб обвивката чрез потребителския интерфейс за управление на Godzilla и да получи пълен контрол над целевия хост, като улесни изпълнението на произволни команди на обвивката, преглеждането на мрежова информация и обработката на операции за управление на файлове.

На потребителите на Apache ActiveMQ се препоръчва да актуализират до най-новата версия възможно най-скоро, за да намалят потенциалните заплахи.

 

Източник: The Hacker News

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!