Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Исследователи кибербезопасности предупреждают о "заметном увеличении" активности субъектов угроз, активно использующих исправленную уязвимость в Apache ActiveMQ для доставки веб-оболочки Godzilla на скомпрометированные хосты.
"Веб-оболочки скрыты в неизвестном двоичном формате и предназначены для обхода систем безопасности и сканеров на основе сигнатур", - сказал Trustwave. "Примечательно, что, несмотря на неизвестный формат двоичного файла, JSP-движок ActiveMQ продолжает компилировать и выполнять веб-оболочку".
CVE-2023-46604 (оценка CVSS: 10.0) относится к серьезной уязвимости в Apache ActiveMQ, которая позволяет выполнять удаленный код. С момента ее публичного раскрытия в конце октября 2023 года она активно использовалась многочисленными злоумышленниками для развертывания программ-вымогателей, руткитов, майнеров криптовалют и DDoS-ботнетов.
В последнем наборе вторжений, обнаруженном Trustwave, уязвимые экземпляры были нацелены веб-оболочками на основе JSP, которые размещены в папке "admin" установочного каталога ActiveMQ.
Веб-оболочка, получившая название Godzilla, представляет собой функциональный бэкдор, способный анализировать входящие запросы HTTP POST, выполнять содержимое и возвращать результаты в виде HTTP-ответа.
"Что делает эти вредоносные файлы особенно примечательными, так это то, что JSP-код, по-видимому, скрыт в двоичном файле неизвестного типа", - сказал исследователь безопасности Родель Мендрез. "Этот метод потенциально позволяет обойти меры безопасности, избегая обнаружения конечными точками безопасности во время сканирования".
Более тщательное изучение цепочки атак показывает, что код веб-оболочки преобразуется в код Java до его выполнения механизмом сервлетов Jetty.
Полезная нагрузка JSP в конечном итоге позволяет субъекту угрозы подключаться к веб-оболочке через пользовательский интерфейс управления Godzilla и получать полный контроль над целевым хостом, облегчая выполнение произвольных команд оболочки, просмотр сетевой информации и выполнение операций управления файлами.
Пользователям Apache ActiveMQ настоятельно рекомендуется обновиться до последней версии как можно скорее, чтобы уменьшить потенциальные угрозы.
"Веб-оболочки скрыты в неизвестном двоичном формате и предназначены для обхода систем безопасности и сканеров на основе сигнатур", - сказал Trustwave. "Примечательно, что, несмотря на неизвестный формат двоичного файла, JSP-движок ActiveMQ продолжает компилировать и выполнять веб-оболочку".
CVE-2023-46604 (оценка CVSS: 10.0) относится к серьезной уязвимости в Apache ActiveMQ, которая позволяет выполнять удаленный код. С момента ее публичного раскрытия в конце октября 2023 года она активно использовалась многочисленными злоумышленниками для развертывания программ-вымогателей, руткитов, майнеров криптовалют и DDoS-ботнетов.
В последнем наборе вторжений, обнаруженном Trustwave, уязвимые экземпляры были нацелены веб-оболочками на основе JSP, которые размещены в папке "admin" установочного каталога ActiveMQ.
Веб-оболочка, получившая название Godzilla, представляет собой функциональный бэкдор, способный анализировать входящие запросы HTTP POST, выполнять содержимое и возвращать результаты в виде HTTP-ответа.
"Что делает эти вредоносные файлы особенно примечательными, так это то, что JSP-код, по-видимому, скрыт в двоичном файле неизвестного типа", - сказал исследователь безопасности Родель Мендрез. "Этот метод потенциально позволяет обойти меры безопасности, избегая обнаружения конечными точками безопасности во время сканирования".
Более тщательное изучение цепочки атак показывает, что код веб-оболочки преобразуется в код Java до его выполнения механизмом сервлетов Jetty.
Полезная нагрузка JSP в конечном итоге позволяет субъекту угрозы подключаться к веб-оболочке через пользовательский интерфейс управления Godzilla и получать полный контроль над целевым хостом, облегчая выполнение произвольных команд оболочки, просмотр сетевой информации и выполнение операций управления файлами.
Пользователям Apache ActiveMQ настоятельно рекомендуется обновиться до последней версии как можно скорее, чтобы уменьшить потенциальные угрозы.
