Изследователи в областта на киберсигурността предупреждават за „забележително увеличение“ на активността на заплахите, които активно използват вече поправен недостатък в Apache ActiveMQ, за да доставят уеб обвивката Godzilla на компрометирани хостове.
„Уеб обвивките са скрити в непознат двоичен формат и са проектирани така, че да заобикалят скенерите за сигурност и базираните на сигнатури“, казват от Trustwave. „Забележително е, че въпреки неизвестния формат на двоичния файл, JSP енджинът на ActiveMQ продължава да компилира и изпълнява уеб обвивката.“
CVE-2023-46604 (CVSS оценка: 10.0) се отнася до сериозна уязвимост в Apache ActiveMQ, която позволява отдалечено изпълнение на код. След публичното ѝ разкриване в края на октомври 2023 г. тя е обект на активна експлоатация от множество противници за внедряване на ransomware, руткитове, миньори на криптовалути и DDoS ботнети.
В последния набор от прониквания, наблюдавани от Trustwave, податливите екземпляри са били насочени към JSP-базирани уеб обвивки, които са заложени в папката „admin“ на инсталационната директория на ActiveMQ.
Уеб обвивката, наречена Godzilla, е богата на функционалности задна врата, способна да анализира входящите HTTP POST заявки, да изпълнява съдържанието и да връща резултатите под формата на HTTP отговор.
„Това, което прави тези злонамерени файлове особено забележителни, е как JSP кодът изглежда скрит в непознат тип двоичен файл“, казва изследователят по сигурността Родел Мендрес. „Този метод има потенциал да заобиколи мерките за сигурност, избягвайки откриването от крайните точки за сигурност по време на сканиране.“
По-внимателното разглеждане на веригата на атаката показва, че кодът на уеб обвивката се преобразува в Java код, преди да бъде изпълнен от Jetty Servlet Engine.
Полезният товар на JSP в крайна сметка позволява на извършителя на заплахата да се свърже с уеб обвивката чрез потребителския интерфейс за управление на Godzilla и да получи пълен контрол над целевия хост, като улесни изпълнението на произволни команди на обвивката, преглеждането на мрежова информация и обработката на операции за управление на файлове.
На потребителите на Apache ActiveMQ се препоръчва да актуализират до най-новата версия възможно най-скоро, за да намалят потенциалните заплахи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.