Търсене
Close this search box.

Дефектът в Apache ActiveMQ се използва в нови атаки на Godzilla Web Shell

Изследователи в областта на киберсигурността предупреждават за „забележително увеличение“ на активността на заплахите, които активно използват вече поправен недостатък в Apache ActiveMQ, за да доставят уеб обвивката Godzilla на компрометирани хостове.

„Уеб обвивките са скрити в непознат двоичен формат и са проектирани така, че да заобикалят скенерите за сигурност и базираните на сигнатури“, казват от Trustwave. „Забележително е, че въпреки неизвестния формат на двоичния файл, JSP енджинът на ActiveMQ продължава да компилира и изпълнява уеб обвивката.“

CVE-2023-46604 (CVSS оценка: 10.0) се отнася до сериозна уязвимост в Apache ActiveMQ, която позволява отдалечено изпълнение на код. След публичното ѝ разкриване в края на октомври 2023 г. тя е обект на активна експлоатация от множество противници за внедряване на ransomware, руткитове, миньори на криптовалути и DDoS ботнети.

В последния набор от прониквания, наблюдавани от Trustwave, податливите екземпляри са били насочени към JSP-базирани уеб обвивки, които са заложени в папката „admin“ на инсталационната директория на ActiveMQ.

Уеб обвивката, наречена Godzilla, е богата на функционалности задна врата, способна да анализира входящите HTTP POST заявки, да изпълнява съдържанието и да връща резултатите под формата на HTTP отговор.

„Това, което прави тези злонамерени файлове особено забележителни, е как JSP кодът изглежда скрит в непознат тип двоичен файл“, казва изследователят по сигурността Родел Мендрес. „Този метод има потенциал да заобиколи мерките за сигурност, избягвайки откриването от крайните точки за сигурност по време на сканиране.“

По-внимателното разглеждане на веригата на атаката показва, че кодът на уеб обвивката се преобразува в Java код, преди да бъде изпълнен от Jetty Servlet Engine.

Полезният товар на JSP в крайна сметка позволява на извършителя на заплахата да се свърже с уеб обвивката чрез потребителския интерфейс за управление на Godzilla и да получи пълен контрол над целевия хост, като улесни изпълнението на произволни команди на обвивката, преглеждането на мрежова информация и обработката на операции за управление на файлове.

На потребителите на Apache ActiveMQ се препоръчва да актуализират до най-новата версия възможно най-скоро, за да намалят потенциалните заплахи.

 

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!